Bezpečnostní experti ze společnosti Microsoft odhalili novou útočnou kampaň zaměřenou na evropské uživatele. Neznámí útočníci v ní rozeslali nevyžádané e-maily, které obsahují záškodnický dokument. Po jeho otevření se v počítači vytvoří „zadní vrátka“ pro vzdálený přístup. Bližší informace o hrozbě zveřejnil portál ZDNet.
Využili dvouletou chybu v MS Office
Škodlivý kód se šíří přes nevyžádané e-maily, které byly napsány v různých evropských jazycích. V současnosti není známo, zda byly tyto zprávy lokalizované i do češtiny.
Součástí e-mailu byl speciálně vytvořen dokument (* .DOC), který dokázal využít starší zranitelnost v kancelářském balíku Microsoft Office. Konkrétně jde o chybu CVE-2017-11882, která byla řádně opravena už v roce 2017. Hrozba se proto týká pouze počítačů s neaktualizovaným softwarem, jenže takových je stále docela mnoho. Uživatelé aktualizace softwarového balíku často zjevně zanedbávají, týká se to zejména uživatelů se staršími pevnými licencemi.
Ukázka záškodnického dokumentu
Server vypnuli krátce po odhalení
Pokud nic netušící uživatel otevřel záškodnicky dokument, okamžitě a bez jakékoliv interakce se provedla série skriptů. Z portálu Pastebin se nejprve stáhl a spustil skript, který provedl další příkaz přes PowerShell.
Prostřednictvím PowerShell příkazu se z internetu stáhl nebezpečný soubor a ten se pak uložil do adresáře "Temp". Nakonec se škodlivý kód aktivoval a zajistil si automatické spouštění vždy se startem operačního systému.
Počítačoví experti uvádějí, že infiltrace v počítači vytvořila takzvané zadní vrátka (backdoor), která slouží útočníkům k získání přístupu k infikovanému zařízení. Dobrou zprávou je, že krátce po odhalení kampaně byl řídící server útočníků vypnutý. Znamená to, že i kdyby byl počítač infikován, tak už škodlivý kód nedokáže přijímat příkazy a provádět nekalé aktivity.
Tím však dobré zprávy končí.
Aktualizace, aktualizace...
Kampaně využívající stejnou techniku se neustále objevují. Například jen před pár dny odhalily výzkumníci ze společnosti FireEye útoky zaměřené na státní organizace ve Střední Asii. I v tomto případě byla zneužita zranitelnost CVE-2017-11882 , která sloužila k distribuci škodlivého kódu HawkBall.
A aby toho nebylo málo, podle virového radaru společnosti Eset se na našem území objevují v hojnější míře různé škodlivé kódy, které chybu CVE-2017-11882 zneužívají.
Obrana je přitom triviální, stačí udržovat software aktuální. Pokud máte povoleny automatické aktualizace Office v rámci Windows Update, záplata se vám stáhla a nainstalovala automaticky už v listopadu 2017. Pokud z jakéhokoliv důvodu máte automatické aktualizace vypnuté, záplatu pro chybu CVE-2017-11882 si můžete stáhnout na tomto odkazu .