微软警告滥用Office漏洞的电子邮件垃圾邮件活动

微软的安全研究人员周五下午发布了一则警告，一旦用户打开RTF文件，就会传播垃圾邮件，这些垃圾邮件正在传播带有恶意RTF文件的电子邮件，这些文件会在没有用户交互的情况下感染恶意软件的用户。微软表示，垃圾邮件似乎针对欧洲用户，因为电子邮件是以各种欧洲语言发送的。“在新的活动中，RTF文件下载并运行多个不同类型的脚本(VBScript，PowerShell，PHP，其他)来下载有效载荷，”微软安全情报团队表示。微软表示，最终的有效载荷是一个后门木马。幸运的是，当微软发布安全警报时，该木马的命令和控制服务器似在周五下降。

然而，未来的活动总是存在危险，可能利用相同的策略来传播连接到工作服务器的新版本的后门木马，允许骗子直接访问受感染的计算机。

好消息是，用户可以完全免受此垃圾邮件活动的影响。最初的感染向量依赖于Microsoft在2017年11月修补的旧Office漏洞。

应用2017年11月补丁星期二安全更新的用户应该是安全的。

该漏洞被跟踪为CVE-2017-11882。这是Office安装附带的旧版公式编辑器组件中的漏洞的代号，除Microsoft的新公式编辑器模块外，还用于兼容性目的。

早在2017年，Embedi的安全研究人员发现了这个旧组件中的一个错误，允许威胁参与者在用户打开包含特殊漏洞的武器化Office文件时，无需任何用户交互即可在用户设备上执行代码。

由于Microsoft似乎丢失了这个旧组件的源代码，并且在2018年发现第二个公式编辑器错误之后，Microsoft决定在2018年1月从Office包中删除旧的公式编辑器组件。

但是，众所周知，许多用户和公司经常会失败或忘记及时安装安全更新。

自从2017年底以来，恶意软件运营商已经开始利用这一漏洞进行武器化，因为他们知道他们将有足够的时间利用那些不打扰安全更新的健忘用户。

他们做到了。他们一次又一次地使用这种利用。“未来的记录”报告将CVE-2017-11882评为2018年第三大被利用漏洞，类似的卡巴斯基报告也将其排在榜首。

漏洞本身是天赐之物，因为它不需要用户交互，这与大多数其他Office漏洞不同，后者要求用户通过弹出窗口启用宏或禁用各种安全功能。

虽然微软本周曾警告CVE-2017-11882正在被用于大规模垃圾邮件活动，但该漏洞利用也非常受黑客团体的欢迎，这些黑客团体从事非常有针对性的攻击，例如经济间谍活动或情报收集。

例如，该周，以两种不同的报告[1，2]，FireEye的所述CVE-2017-11882中不同的中国网络间谍组之间共享。

一些中国国家赞助的黑客组织正在使用这种漏洞，这证明了它的效率以及用户需要了解它并应用必要补丁的另一个原因。