雷鋒網(wǎng)6月9日消息，微軟(Microsoft)發(fā)布警告稱，針對(duì)歐洲地區(qū)的垃圾郵件活動(dòng)正在利用一個(gè)漏洞執(zhí)行攻擊，只要打開(kāi)附件文件就可能感染用戶。

微軟稱，這是一場(chǎng)針對(duì)歐洲地區(qū)的主動(dòng)電子郵件惡意軟件運(yùn)動(dòng)，散布了帶有CVE-2017-11882漏洞的RTF文件，該漏洞允許攻擊者自動(dòng)運(yùn)行惡意代碼而不需要用戶交互。

CVE-2017-11882漏洞允許創(chuàng)建RTF和Word文檔，一旦打開(kāi)就自動(dòng)執(zhí)行命令。這一漏洞在2017年得到了修補(bǔ)，但微軟表示，他們?cè)谶^(guò)去幾周再度看到使用此類漏洞的攻擊有所增加。

根據(jù)微軟的說(shuō)法，當(dāng)附件打開(kāi)時(shí)，它將“執(zhí)行不同類型的多個(gè)腳本(VBScript、PowerShell、PHP等)來(lái)下載有效負(fù)載。”

“當(dāng)我們測(cè)試其中一個(gè)示例文檔時(shí)，在打開(kāi)該文檔時(shí)，它立即開(kāi)始執(zhí)行從Pastebin下載的腳本，該腳本執(zhí)行PowerShell命令。然后，這個(gè)PowerShell命令將下載一個(gè)base64編碼的文件，并將其保存到%temp%\bakdraw.exe。然后將bakdraw.exe的副本復(fù)制到 %UserProfile% \ AppData \ Roaming \ SystemIDE 中，并將配置一個(gè)名為 SystemIDE 的調(diào)度任務(wù)來(lái)啟動(dòng)可執(zhí)行文件并添加持久性。

微軟聲明此可執(zhí)行文件是一個(gè)后門，當(dāng)前配置為連接到一個(gè)不再可訪問(wèn)的惡意域。這意味著即使計(jì)算機(jī)被感染，后門也不能與其命令和控制服務(wù)器通信來(lái)接收命令。不過(guò)，這個(gè)有效負(fù)載可以很容易地切換為工作負(fù)載，因此微軟建議所有 Windows 用戶盡快為這個(gè)漏洞安裝安全更新。

值得一提的是，F(xiàn)ireEye最近還發(fā)現(xiàn)了CVE-2017-11882漏洞，該漏洞可被用于針對(duì)中亞的一場(chǎng)攻擊行動(dòng)，并安裝了一個(gè)名為HawkBall的新后門。目前尚不清楚兩起活動(dòng)是否有關(guān)聯(lián)。

參考來(lái)源：BleepingComputer雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。