Microsoft Security Intelligence tarafından Avrupa dillerinde e-postaları kullanan aktif bir kötü amaçlı yazılım kampanyası tespit edilmiş. Saldırganların kullanıcı etkileşimi gerektirmeden otomatik olarak kötü amaçlı kod çalıştırmasına izin veren CVE-2017-11882 istismarını taşıyan RTF dosyaları dağıttıkları tespit edilmiş. Malum Office 365 başta olmak üzere Windows 10 Defender dahil milyarlarca sensor sahibi olan Microsoft bu tür atakları çok hızlı bir şekilde tespit edebiliyor.
CVE-2017-11882 güvenlik açığı aslında 2017 yılında düzeltildi, ancak malum pek çok insan ne yazık ki yamalar konusunda hala aksiyon almamış durumda. Aslında bir nevi kendini unutturmuş olan bu açık ve bu açık için çıkan yamaları yüklemeyen kullanıcıları avlamak istiyorlar.
Yeni kampanyada küçük bir kaç değişiklikte yok değil. RTF dosyası farklı türde (VBScript, PowerShell, PHP, Diğerleri) birden fazla komut dosyasını indirir ve çalıştırır. Arka kapı daha sonra komuta merkezine bağlanmaya çalışır.
Office 365 ATP, bu kampanyada kullanılan e-postaları ve ekleri algılar. Windows Defender ATP, belgeleri istismar olarak algılar, Exploit:O97M/CVE-2017-11882.AD ve Trojan:MSIL/Cretasker. Saldırı yüzey azaltma kuralları gibi diğer azaltıcı etkenler de istismarı engeller.
Özetle eğer bu yamaları yüklememiş ve mail tarafında veya AV tarafında güncel bir anti virüs çözümünüz yok ise bu yeni ataklardan etkilenebilirsiniz.
Kaynak
@MsftSecIntel