当前位置:安全资讯 >> 全文

Office “公式编辑器”bug已遭利用

发布时间:2017-11-27 13:29 标签: 公式编辑器 office
分享到 0

一周前,微软Office“公式编辑器”中的漏洞被公之于众,而现在至少有一个犯罪组织正在利用它感染用户。

这个黑客组织是Cobalt,两年来一直针对银行、ATM网络和金融机构发动针对性攻击。

CVE-2017-11882Cobalt黑客组织利用

英国网络安全公司Reversing Labs表示,Cobalt组织正在将带有利用CVE-2017-11882利用代码的RTF文档传播到高价值目标中。CVE-2017-11882Office“公式编辑器”组件,它能让攻击者在无需用户交互的前提下在受害者计算机中执行代码。这个漏洞对于网络犯罪组织来说价值极高。

除了这个漏洞本身带来的损失外,Cobalt很可能还利用了上周网络上公布了四个PoCReversing Labs指出,Cobalt黑客组织目前正在发送恶意RTF文件,它会利用CVE-2017-11882利用代码来下载并运行其它恶意文件。这个感染链会经历多个步骤,不过最后都会下载并加载尚未来得及深入分析的一个恶意DLL文件。

Proofpoint公司的研究员Matthew Mesa也看到了同样的恶意邮件,不过看到的是稍有不同的利用链。

Cobalt此前曾利用过微软bug

Cobalt组织此前在发现微软bug后会立即应用到攻击活动中。例如CVE-2017-8759就是如此。它是一个远程代码执行漏洞,影响 .NET框架,由微软在20179月的“补丁星期二”中修复。

安全公司首次在2016年发现Cobalt黑客组织的存在,当时它正在针对欧洲的ATM机和金融机构发动攻击。随后该组织针对美洲、俄罗斯银行发动攻击。它将前苏联的地盘作为新攻击的试验地,然后转向价值更高的地方。

Cobalt组织最为人知的恶意软件家族是Cobalt Strike,它是根据同名商业渗透测试软件命名的,因为它使用了这款软件中的一些组件。

用户应立即修复补丁

历史证明,一旦PoC公布,漏洞从专业的网络犯罪团伙滑向垃圾僵尸网络的速度很快。用户应立即更新微软在11月“补丁星期二”中推出的KB2553204KB3162047KB4011276KB4011262以阻止CVE-2017-11882遭利用。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/a-hacking-group-is-already-exploiting-the-office-equation-editor-bug/
参与讨论,请先 登录 | 注册

用户评论