Дупката в сигурността, която се използва в новата масова хакерска атака, за която Microsoft алармираха (виж по-долу) е от 2017 година. Тя е открита от експертите на Embedi. Получава кодово название CVE-2017-11882.

Тя дава възможност на вредителите да изпълняват код на устройствата на заразените, без потребителят да изпълнява някакво определено действие. Веднъж отворил Office файлa, той е заразен. Вратичката се намира в един от старите модули на софтуера.

В последствие се оказва, че Microsoft вече не разполагат със source кода на въпросния Equation Editor модул, а на всичкото отгоре няколко месеца по-късно се разкрива нова уязвимост. В следствие на това, в началото на 2018 той е премахнат от офис пакета.

Броят на възможните жертви до ден днешен остава голям, тъй като масово бизнесът и домашните потребители не прилагат новите обновления по сигурността на операционната система.

Поради големия обхват от възможни цели, експлойтът се използва доста активно. Доклад на Recorded Future го поставя на трето място за 2018 година. Доклад на Kaspersky също го включва в листата с най-използвани методи за атака.

Както споменахме, за разлика от други вируси и особено такива, които се възползват от Office, тук няма нужда от специално условие, за да стане инфекцията. Обикновено трябва да се разрешат някакви macros-и или да се изключат някои определени функции за безопасност, което тук не е на лице.

Експлойтът е много популярен и сред хакерски групи на по-високо ниво, които се занимават с икономически шпионаж и събиране на чувствителна информация. Тази седмица, в друг доклад, FireEye отбелязва, че CVE-2017-11882 е споделян между няколко различни китайски хакерски групи.

Това са организации, които получават финансиране от правителството, за да изпълняват определени мисии. Фактът, че те използват тази дупка в сигурността доказва, че тя работи достатъчно добре за тях.

От къде тръгна всичко?

Отделът по сигурност на Microsoft отправи предупреждение към потребителите за нова SPAM кампания, която разпространява вируси чрез определена уязвимост. Целта на атаката са основно потребители от Европа.

Изпращат се различни имейли с прикачени RTF файлове, при отварянето на които става инфекция с троянски кон. Съобщенията се разпращат на различни езици, основно от европейската група.

„При новата атака, след изтегляне на RTF файл се активират скриптове от няколко различни типа (VBScript, PowerShell, PHP и други), за да изтеглят троянския кон.“, обясняват от разузнавателния екип на компанията.

Поне към този момент, сървърите за командване и контрол на троянския кон са офлайн. Предупреждението обаче е, че те могат да се върнат на линия във всеки един момент.

Хубавото е, че предпазването на човек от тази уязвимост е много лесно. Ако все още не сте, трябва да изтеглите и инсталирате пакета от ъпдейти по сигурността от ноември 2017 година.

От Microsoft обявиха, че Office 365 ATP разпознава успешно имейлите и прикачените файлове, които се използват в тази офанзива. Windows Defender ATP определя документите като Exploit:O97M/CVE-2017-11882.AD, а самият троянски кон като Trojan:MSIL/Cretasker.