9 الأخبار، حذر يونيو مايكروسوفت (مايكروسوفت) النشاط المزعج للمنطقة الأوروبية والاستفادة من التعرض للهجوم، ببساطة فتح الملف المرفق يمكن أن تصيب المستخدمين.
وتقول مايكروسوفت أن هذا البريد الإلكتروني استباقية لحركة البرمجيات الخبيثة أوروبا، تنتشر ملف RTF مع الضعف CVE-2017-11882 والتي قد تسمح للمهاجمين لتشغيل الشيفرات الخبيثة تلقائيا دون الحاجة لتدخل المستخدم.
الضعف CVE-2017-11882 يسمح لك لإنشاء مستندات RTF و Word، فتحت مرة واحدة تلقائيا تنفيذ الأمر. ومصححة هذا الضعف في عام 2017، ولكن وقالت مايكروسوفت أنها نرى مرة أخرى استخدام مثل هذه الهجمات الضعف المتزايد في الأسابيع القليلة الماضية.
ووفقا لمايكروسوفت، عند فتح المرفقات، وسوف "أداء أنواع مختلفة من مخطوطات متعددة (فبسكريبت، بوويرشيل، PHP، الخ) لتحميل الحمولة."
"عندما اختبرنا وثيقة العينة التي عليها في الوقت الذي يتم فتح المستند، على الفور يبدأ تنفيذ باستبين تحميل السيناريو تنفيذ الأوامر بوويرشيل. ثم الأمر PowerShell لتحميل base64 في ملف مشفر، وحفظه ل TEMP \ bakdraw.exe. ثم عمل نسخ bakdraw.exe إلى التشكيل الجانبي للمستخدم \ APPDATA \ التجوال \ SystemIDE في وتكوين مهمة مجدولة اسمه SystemIDE لإطلاق ملف قابل للتنفيذ وإضافة المتانة.
بيان مايكروسوفت هذا الملف القابل للتنفيذ هو مستتر تكوينها حاليا للاتصال مجال الخبيثة لم يعد يمكن الوصول إليها. وهذا يعني أنه حتى في حالة إصابة جهاز الكمبيوتر الخاص بك، والباب الخلفي لا يمكن الاتصال مع خادم القيادة والسيطرة لتلقي الأوامر. ومع ذلك، فإن حمولة يمكن أن تنتقل بسهولة إلى عبء العمل، لذلك توصي Microsoft أن جميع مستخدمي ويندوز تثبيت التحديث الأمني في أسرع وقت ممكن لهذا الضعف.
ومن الجدير بالذكر أن FireEye اكتشفت مؤخرا CVE-2017-11882 الضعف التي يمكن استخدامها في هجوم ضد آسيا الوسطى، وتثبيت الباب الخلفي الجديد من اسمه HawkBall. وليس من الواضح ما إذا كانت الحالتين الأنشطة ذات الصلة.