微软警告：发现Office漏洞攻击

6月9日消息，微软(Microsoft)发布警告称，针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击，只要打开附件文件就可能感染用户。

微软称，这是一场针对欧洲地区的主动电子邮件恶意软件运动，散布了带有CVE-2017-11882漏洞的RTF文件，该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

CVE-2017-11882漏洞允许创建RTF和Word文档，一旦打开就自动执行命令。这一漏洞在2017年得到了修补，但微软表示，他们在过去几周再度看到使用此类漏洞的攻击有所增加。

根据微软的说法，当附件打开时，它将“执行不同类型的多个脚本(VBScript、PowerShell、PHP等)来下载有效负载。”

“当我们测试其中一个示例文档时，在打开该文档时，它立即开始执行从Pastebin下载的脚本，该脚本执行PowerShell命令。然后，这个PowerShell命令将下载一个base64编码的文件，并将其保存到%temp%\bakdraw.exe。然后将bakdraw.exe的副本复制到 %UserProfile% \ AppData \ Roaming \ SystemIDE 中，并将配置一个名为 SystemIDE 的调度任务来启动可执行文件并添加持久性。

微软声明此可执行文件是一个后门，当前配置为连接到一个不再可访问的恶意域。这意味着即使计算机被感染，后门也不能与其命令和控制服务器通信来接收命令。不过，这个有效负载可以很容易地切换为工作负载，因此微软建议所有 Windows 用户尽快为这个漏洞安装安全更新。

值得一提的是，FireEye最近还发现了CVE-2017-11882漏洞，该漏洞可被用于针对中亚的一场攻击行动，并安装了一个名为HawkBall的新后门。目前尚不清楚两起活动是否有关联。

参考来源：BleepingComputer

-----招聘好基友的分割线-----

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注