Η Microsoft προειδοποιεί τους χρήστες για μια νέα εκστρατεία που χρησιμοποιεί μια ευπάθεια που είχε επιδιορθωθεί το 2017, για να μεταφορτώσει ένα backdoor Trojan σε επηρεαζόμενα μηχανήματα.

Η Microsoft εξέδωσε μια προειδοποίηση την Παρασκευή, σχετικά με μια εξελισσόμενη εκστρατεία ανεπιθύμητης αλληλογραφίας που απευθύνεται σε ευρωπαίους χρήστες. Τα μηνύματα ανεπιθύμητης αλληλογραφίας μεταφέρουν έγγραφα RTF που μετατρέπονται σε όπλα, τα οποία θα μπορούσαν να μολύνουν τους χρήστες με κακόβουλο λογισμικό χωρίς οποιαδήποτε αλληλεπίδρασή τους, με ένα απλό άνοιγμά τους. Τα μηνύματα ανεπιθύμητης αλληλογραφίας αποστέλλονται σε διάφορες ευρωπαϊκές γλώσσες, με τις ομάδες απειλής να εκμεταλλεύονται την ευπάθεια CVE-2017-11882 του Microsoft Office και του WordPad CVE-2017-11882. Σχετικά με αυτά τα μηνύματα spam, ο τεχνολογικός γίγαντας δημοσιοποίησε μια σειρά προειδοποιήσεων: «Στη νέα εκστρατεία, το αρχείο RTF μεταφορτώνει και τρέχει πολλαπλά σενάρια διαφορετικών τύπων (VBScript, PowerShell, PHP κ.ά.) για να κατεβάσει το ωφέλιμο φορτίο. Το ωφέλιμο φορτίο προσπαθεί ως backdoor στη συνέχεια να συνδεθεί με έναν κακόβουλο τομέα που είναι προς το παρόν κάτω εκτός λειτουργίας».

Το ελάττωμα CVE-2017-11882 είναι ένα ζήτημα φθοράς μνήμης που επηρεάζει όλες τις εκδόσεις του Microsoft Office που κυκλοφόρησαν τα τελευταία 17 χρόνια, συμπεριλαμβανομένου του τελευταίου Microsoft Office 365. Η ευπάθεια μπορεί να ενεργοποιηθεί σε όλες τις εκδόσεις του λειτουργικού συστήματος των Windows, συμπεριλαμβανομένης της τελευταίας ενημέρωσης Microsoft Windows 10 Creators Update. Η ευπάθεια επηρεάζει το στοιχείο MS Office EQNEDT32.EXE που είναι υπεύθυνο για την εισαγωγή και την επεξεργασία των εξισώσεων (αντικείμενα OLE) σε έγγραφα. Το στοιχείο δεν χειρίζεται σωστά αντικείμενα στη μνήμη, ένα σφάλμα που θα μπορούσε να εκμεταλλευτεί ο εισβολέας για να εκτελέσει κακόβουλο κώδικα στο πλαίσιο του συνδεδεμένου χρήστη. Αν και η ευπάθεια αυτή είχε επιδιορθωθεί το 2017, οι εμπειρογνώμονες της Microsoft εξακολουθούν να βλέπουν τις ομάδες απειλής να την εκμεταλλεύονται με πολύ έντονο τρόπο, με αποκορύφωμα τον αριθμό των επιθέσεων που αξιοποίησαν το θέμα τις τελευταίες εβδομάδες. Όπως δηλώνει χαρακτηριστικά η Microsoft, «κατά τη διάρκεια των τελευταίων εβδομάδων, σημειώσαμε αυξημένη δραστηριότητα. Σας συνιστούμε να εφαρμόσετε ενημερώσεις ασφαλείας».

Οι ειδικοί της Microsoft πιστεύουν ότι οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν την ίδια τακτική για να διαδώσουν μια ενημερωμένη έκδοση του backdoor, ώστε να συνδεθούν με έναν λειτουργικό τομέα C & C. Αυτό θα μπορούσε να επιτρέψει τη λήψη πρόσθετων ωφέλιμων φορτίων, που θα οδηγήσουν σε μετάδοση ransomware ή banking Trojans, κλοπή πληροφοριών και άλλα. Σημειώνεται ότι το Office 365 ATP (Advanced Threat Protection) εντοπίζει τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα συνημμένα που χρησιμοποιούνται σε αυτήν την εκστρατεία. Το Windows Defender ATP ανιχνεύει τα έγγραφα ως Exploit: O97M / CVE-2017-11882.AD και το ωφέλιμο φορτίο ως Trojan: MSIL/Cretasker.