مایکروسافت درباره آسیب‌پذیری آفیس هشدار داد
انتشار اسناد مخرب RTF
کد مطلب: 15445
تاریخ انتشار : سه شنبه ۲۱ خرداد ۱۳۹۸ ساعت ۱۰:۵۲
 
مایکروسافت درباره انتشار گسترده‌ ایمیل‌هایی که استاد مخرب RTF را توزیع می‌کنند به کاربران هشدار داد.
انتشار اسناد مخرب RTF
 
 
Share/Save/Bookmark
مایکروسافت درباره انتشار گسترده‌ ایمیل‌هایی که استاد مخرب RTF را توزیع می‌کنند به کاربران هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی مایکروسافت اخیرا هشداری را مبنی بر یک موج ایمیل اسپم منتشر کرده‌اند که در حال توزیع اسناد مخرب RFT است. فایل RTF منتقل شده در این حملات چندین اسکریپت مخرب با نوع‌های مختلف (VBScript ،PowerShell ،PHP و ...) را دانلود و اجرا می‌کند تا payload نهایی بدافزار بارگذاری شود. payload نهایی یک تروجان back door است.

پس از انتشار هشدار مایکروسافت، سرورهای فرمان و کنترل تروجان از دسترس خارج شدند. با این حال همیشه خطر عملیات‌های آتی که از روش مشابه بهره می‌برند، وجود دارد. به این دلیل که ممکن است سرور تروجان شروع به کار کند و نسخه جدیدی از بدفزار را انتشار دهد.
آسیب‌پذیری مورد سوءاستفاده در این عملیات CVE-۲۰۱۷-۱۱۸۸۲ است که خوش بختانه این آسیب‌پذیری در وصله ماه نوامبر ۲۰۱۷ برطرف شده‌است و کاربرانی که این وصله را اعمال کرده‌اند، امن هستند. این آسیب‌پذیری در مولفه Equation Editor مجموعه آفیس قرار دارد و بهره‌برداری از آن به مهاجم اجازه اجرای کد دلخواه را فراهم می‌کند.

با اینکه آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ در گذشته رفع شده، اما یکی از پراستفاده‌ترین آسیب‌پذیری‌ها در بین مهاجمین سایبری است. طبق گزارش Recorded Future، آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ سومین نقص پراستفاده در سال ۲۰۱۸ بوده‌است. همچنین کسپرسکی نیز این آسیب‌پذیری را به‌عنوان پراستفاده‌ترین نقص امنیتی در سال ۲۰۱۸ معرفی کرده‌است. نکته قابل توجه درباره این نقص عدم احتیاج به تعامل کاربر برای فعال‌سازی است، بر خلاف سایر آسیب‌پذیری‌ها که کاربر باید ماکروها یا سایر ویژگی‌های امنیتی را غیرفعال کند.

توصیه می‌شود در صورتی که تاکنون نسبت به اعمال وصله‌های مربوط به آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ اقدام نشده‌است، این وصله‌ها اعمال شوند.پژوهشگران امنیتی مایکروسافت اخیرا هشداری را مبنی بر یک موج ایمیل اسپم منتشر کرده‌اند که در حال توزیع اسناد مخرب RFT است.

فایل RTF منتقل‌شده در این حملات چندین اسکریپت مخرب با نوع‌های مختلف (VBScript PowerShell ،PHP و ...) را دانلود و اجرا می‌کند تا payload نهایی بدافزار بارگذاری شود. payload نهایی یک تروجان back door است.

پس از انتشار هشدار مایکروسافت، سرورهای فرمان و کنترل تروجان از دسترس خارج شدند. با این حال همیشه خطر عملیات‌های آتی که از روش مشابه بهره می‌برند، وجود دارد. به این دلیل که ممکن است سرور تروجان شروع به کار کند و نسخه جدیدی از بدفزار را انتشار دهد.
آسیب‌پذیری مورد سوءاستفاده در این عملیات CVE-۲۰۱۷-۱۱۸۸۲ است که خوش‌بختانه این آسیب‌پذیری در وصله ماه نوامبر ۲۰۱۷ برطرف شده‌است و کاربرانی که این وصله را اعمال کرده‌اند، امن هستند. این آسیب‌پذیری در مولفه Equation Editor مجموعه آفیس قرار دارد و بهره‌برداری از آن به مهاجم اجازه اجرای کد دلخواه را فراهم‌می‌کند.

با اینکه آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ در گذشته رفع شده‌است، اما یکی از پراستفاده‌ترین آسیب‌پذیری‌ها در بین مهاجمان سایبری است. آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ سومین نقص پراستفاده در سال ۲۰۱۸ بوده‌است. همچنین کسپرسکی نیز این آسیب‌پذیری را به‌عنوان پراستفاده‌ترین نقص امنیتی در سال ۲۰۱۸ معرفی کرده‌است. نکته قابل توجه درباره این نقص عدم احتیاج به تعامل کاربر برای فعال‌سازی است، برخلاف سایر آسیب‌پذیری‌ها که کاربر باید ماکروها یا سایر ویژگی‌های امنیتی را غیرفعال کند.

توصیه می‌شود تا در صورتی که تاکنون نسبت به اعمال وصله‌های مربوط به آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ اقدام نشده‌است، این وصله‌ها اعمال شوند.
مرجع : مرکز مدیریت راهبردی افتا