Microsoft издаде предупреждение към потребителите на Windows за активна хакерска кампания, която експлоатира уязвимост в операционната система. Не става дума обаче за незапушена дупка в системата, а за проблем, който компанията разрешава още преди две години. Уязвимостта засяга Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016
Неизвестна засега страна разпраща спам писма с прикачен в тях RTF файл. В него е вграден експлойт за CVE-2017-11882 – уязвимост в Office програмите на компанията, чието експлоатиране позволява изпълнение на код по отдалечен път и изпълнението му в контекста на вписалия се в системата потребител.
„CVE-2017-11882 уязвимостта беше адресирана през 2017, но и днес ние наблюдаваме атаки, свързани с нея. По-конкретно, ние регистрирахме повишена активност през последните няколко седмици. Препоръчваме силно да бъдат наложени съответните обновления по сигурността“, предупреждават Microsoft. В тази нов кампания, RTF файлът сваля и изпълнява множество скриптове от различен тип (VBScript, PowerShell, PHP и други), за да бъде свален и изпълнен основния програмен модул на атаката. Microsoft отбелязват, че макар и към настоящия момент, командния сървър на престъпниците да е офлайн, то има голяма вероятност той да бъде отново онлайн скоро. Това ще позволи свалянето на допълнителни зловредни програми, което от своя страна да доведе до заразяване на системата с шпионски софтуер, рансъмуер и др.
Microsoft споделя, че Windows Defender има дефиниция, както за експлойта, така и за основния зловреден компонент в атаките.
CVE-2017-11882 се превръща бързо в любим инструмент на хакери и киберпрестъпници, поради това, че експлоатирането на уязвимостта не изисква, каквото и да е действие от страна на жертвата. Експлойт за него бива и използван с успех от няколко кибершпионски групировки.
