html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Эксплоиту для старого бага Microsoft Office нашли новое применение, теперь опасны и файлы PowerPoint

В апреле 2017 года разработчики Microsoft представили исправление для уязвимости CVE-2017-0199, которая затрагивала Microsoft Office. На момент выхода патча этот 0-day баг уже взяли на вооружение злоумышленники, а также была опубликована подробная информация о проблеме. По данным специалистов Proofpoint, Netskope и FireEye, с помощью этой уязвимости на машины пользователей доставляли таких вредоносов, как Dridex, WingBird, Latentbot и Godzilla.

Лежащая в основе бага ошибка связана с некорректной обработкой ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), которая дает возможность встраивать одни документы внутрь других. После открытия зараженного документа приложение делает запрос на удаленный сервер, чтобы получить встроенный в этот документ файл. Сервер возвращает специально сформированный ответ. В нем содержится вpедоносный файл HTA, код из которого после загрузки выполняется на целевой системе. Нашу видеодемонстрацию работы эксплоита можно увидеть здесь.

Теперь специалисты Cisco и Trend Micro рассказали о новой вредоносной кампании, использующей эксплоит для уязвимости CVE-2017-0199. Если ранее для атак использовались документы Rich Text File (RTF), то сейчас злоумышленники переключились на PowerPoint Show (файлы PPSX), которые распространяются вместе со спамерскими письмами, в виде вложений.

Если жертва открывает вредоносный файл, она видит текст «CVE-2017-8570». Это идентификатор другой уязвимости в Microsoft Office, однако для атак используется не этот баг. Как только файл PPSX был открыт, происходит эксплуатация CVE-2017-0199: с помощью анимации PowerPoint Show запускается загрузка файла logo.doc, который содержит XML и JavaScript и запускает PowerShell-команду, приводящую к загрузке с управляющего сервера злоумышленников файла RATMAN.EXE и его выполнению. Специалисты пишут, что для компрометации компьютеров жертв используется вредоносная версия легитимного инструмента Remcos Remote Control, который предназначен для организации удаленного доступа и дает злоумышленникам практически неограниченные возможности.

Исследователи сообщают, что данная вредоносная кампания направлена преимущественно против предприятий электронной промышленности и, скорее всего, связана с экономическим шпионажем. Специалисты подчеркивают, что эксплуатация уязвимости CVE-2017-0199 обычно связана с RTF, и на этом построены практически все методики обнаружения таких атак. За счет использования файлов PPSX злоумышленники могут избегать внимания со стороны антивирусного ПО.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • microsoft
          • приложения
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции