24-02-2020 | категорія: Новини

Спостерігається масова розсилка фішингових листів


Дана вразливість надає можливість виконання віддаленого коду, коли програмне забезпечення MS Equation не обробляє належним чином об'єкти в пам'яті. Зловмисник може виконувати довільний код з правами поточного користувача. Якщо користувач виконав вхід у систему з правами адміністратора, зловмисник може взяти під контроль систему та вчиняти наступні дії:

  • встановлювати програми;
  • переглядати, змінювати або видаляти дані;
  • створювати нові облікові записи з правами адміністратора.

Після експлуатації вразливості CVE-2017-11882 на цільову систему завантажується файл major[.]exe з  адреси hххp[:]//216.170.123.111/major[.]exe, який є шкідливим програмним забезпеченням, що змінює свою поведінку відносно до цільової системи на якій виконується.

Вразливі версії:

Дана вразливість може використовуватись в Microsoft Office 2016 та попередніх версіях, якщо не встановлено відповідні оновлення безпеки.

Рекомендації:

  • Не відкривайте невідомі/підозрілі файли.
  • Використовуйте ліцензійне програмне забезпечення та постійно оновлюйте офісний пакет MS Office.
  • Відключити Microsoft Equation Editor в Office.
  • Обмежте доступ MS Office та PowerShell до мережі Інтернет.

Оновлення безпеки:

  • Microsoft Office 2007 Service Pack 3 – Security Update 4011604        
  • Microsoft Office 2010 Service Pack 2 (32-bit editions) – Security Update 4011618
  • Microsoft Office 2010 Service Pack 2 (64-bit editions) – Security Update 4011618
  • Microsoft Office 2013 Service Pack 1 (32-bit editions) – Security Update 3162047
  • Microsoft Office 2013 Service Pack 1 (64-bit editions) – Security Update 3162047
  • Microsoft Office 2016 (32-bit edition) – Security Update 4011262
  • Microsoft Office 2016 (64-bit edition) – Security Update 4011262

Індикатори компрометації:

  • PGMB New Order 18-2077[.]xlsx (SHA-256) 7d85713beedbaf897e864eb337b3d00730c5458d6b08c68a5797d3d929a03dad
  • major[.]exe (SHA-256) 6d848f12d3deaa824dada521babe5ad04458db587cd4fbf9e4916d2685f93d05
  • hххp[:]//216.170.123.111/major[.]exe

 

CERT-UA