Microsoft Office内存损坏漏洞CVE-2017-11882是一个修补的Microsoft漏洞,允许攻击者执行任意代码执行。使用恶意Microsoft宏的攻击,总是一种破坏目标计算机的流行方法,比以往任何时候都更具破坏性
这种经过验证的方法背后隐藏着Microsoft Office内存损坏漏洞(CVE-2017-11882),这是一个允许攻击者执行任意代码执行的错误。在 Cofense情报部门周四发布的一份报告中,尽管自去年11月以来一直在修补,但它上个月仍有37%的恶意软件针对该漏洞。
8月发现的剩余18%的恶意软件主要由批处理脚本,PowerShell脚本和Microsoft Windows脚本组件(WSC)文件的下载程序组成(通常在游戏中出现)。
宏是一个主要问题
报告显示,通过电子邮件发送的武器化Microsoft Office文档保持其作为“传递机制”的强大保留。
当然,宏对于向端点提供恶意负载非常有意义,因为在提示时可以通过简单的单击鼠标来允许它们。并且,虽然默认情况下Microsoft在Microsoft Office中禁用它们,但是一些企业已将其打开,因此用户可能没有任何其他迹象表明任何问题。
“这使得启动感染链的第一阶段变得微不足道,这样使用的宏是嵌入式Visual Basic脚本,通常用于促进下载或直接执行其他有效负载。”
大量针对宏的恶意软件
研究人员发现虽然宏观方法易于执行并且入门门槛极低,但是针对的恶意软件包括最恶性的恶意软件,包括Geodo(占观察到的大多数宏观交付有效载荷),Chanitor / Hancitor(第二大交付的有效载荷),AZORult和GandCrab – 以及更多,如TrickBot。
“从简单机器人到勒索软件的不同类型恶意软件的范围表明,成熟和业余运营商都在使用这种车辆将有效载荷送到终端,”
已知的漏洞
该分析还发现,几乎与宏一样普遍,Microsoft Office公式编辑器组件中发现的CVE-2017-11882漏洞是用于传递恶意软件的第二大使用的攻击媒介。
“漏洞存在于公式编辑器组件中,当使用它时,它作为自己的进程运行(eqnedt32.exe),由于它的实现方式,它不支持数据执行保护(DEP)和地址空间布局随机化(ASLR)。恶意文档利用此漏洞执行命令。“
Microsoft Office内存损坏漏洞(CVE-2017-11882)正在被Osiris银行木马,FELIXROOT后门恶意软件以及被滥用为间谍软件(即Imminent Monitor)的合法工具所使用。
尽管新型文档攻击正在出现,目标是收件箱并且不需要宏来触发感染链 – 尽管使用轻量级脚本的秘密方法正在增加,但目前,宏仍然是网络犯罪分子手册中的首选,同时还有投注在未打补丁的机器上。因此,基本的安全卫生目前仍然是用户最好的第一道防线。
原文链接:https://threatpost.com/threatlist-microsoft-macros-remain-top-vector-for-malware-delivery/137428/