使用旧恶意软件定位Microsoft Office的新垃圾邮件活动

活动恶意软件广告系列通过分发加载了恶意代码的RTF文件来定位欧洲的Microsoft Office客户。虽然被称为CVE-2017-11882的缺陷在2017年得到修复，但微软研究人员已经注意到过去几周内远程代码执行(RCE)漏洞的漏洞急剧增加。

该公司的安全情报团队警告说，恶意软件加载的垃圾邮件越来越多，攻击者可以在用户的​​计算机上运行恶意代码，而无需在其前端进行任何交互。这些信息也用几种欧洲语言写成，表明其目标主要在于英国和更广泛的欧洲。

使用欧洲语言电子邮件的活动恶意软件活动会分发带有CVE-2017-11882漏洞的RTF文件，攻击者可以自动运行恶意代码而无需用户交互。pic.twitter.com/Ac6dYG9vvw

- Microsoft Security Intelligence(@MsftSecIntel)，2019年6月7日

微软团队表示，“CVE-2017-11882漏洞在2017年得到了修复，但到目前为止，我们仍然在观察攻击漏洞。”“值得注意的是，过去几周我们看到活动增加了。我们强烈建议您应用安全更新。“

该漏洞取决于Office软件无法正确处理内存中的对象。具体而言，自2000年以来打包到Microsoft Office的所有受支持版本中的Microsoft公式编辑器包含堆栈缓冲区溢出漏洞。加载附加的RTF文件后，它将启动多个脚本，包括PowerShell和PHP，以下载有效负载，在这种情况下是后门木马。这将尝试连接到写入时已断开连接的恶意域。

如果用户使用管理权限登录，然后安装其他程序或删除数据，则攻击者可以控制受影响的系统。他们还可以创建具有完全管理权限的新用户帐户。

微软在2017年11月修复了这个漏洞，但它仍然是网络分子的一种流行攻击方式，并且在各种活动中继续被积极利用。事实上，根据IT公司Recorded Future的分析，它是2018年第三大使用最广泛的漏洞利用。

这是因为许多用户尚未对软件实施修复，并且仍被认为是一年半前修复的漏洞的成熟目标。