Спостерігається масова розсилка фішингових листів

Дана вразливість надає можливість виконання віддаленого коду, коли програмне забезпечення MS Equation не обробляє належним чином об'єкти в пам'яті. Зловмисник може виконувати довільний код з правами поточного користувача. Якщо користувач виконав вхід у систему з правами адміністратора, зловмисник може взяти під контроль систему та вчиняти наступні дії:

• встановлювати програми;
• переглядати, змінювати або видаляти дані;
• створювати нові облікові записи з правами адміністратора.

Після експлуатації вразливості CVE-2017-11882 на цільову систему завантажується файл major[.]exe з  адреси hххp[:]//216.170.123.111/major[.]exe, який є шкідливим програмним забезпеченням, що змінює свою поведінку відносно до цільової системи на якій виконується.

Вразливі версії:

Дана вразливість може використовуватись в Microsoft Office 2016 та попередніх версіях, якщо не встановлено відповідні оновлення безпеки.

Рекомендації:

• Не відкривайте невідомі/підозрілі файли.
• Використовуйте ліцензійне програмне забезпечення та постійно оновлюйте офісний пакет MS Office.
• Відключити Microsoft Equation Editor в Office.
• Обмежте доступ MS Office та PowerShell до мережі Інтернет.

Оновлення безпеки:

• Microsoft Office 2007 Service Pack 3 – Security Update 4011604        
• Microsoft Office 2010 Service Pack 2 (32-bit editions) – Security Update 4011618
• Microsoft Office 2010 Service Pack 2 (64-bit editions) – Security Update 4011618
• Microsoft Office 2013 Service Pack 1 (32-bit editions) – Security Update 3162047
• Microsoft Office 2013 Service Pack 1 (64-bit editions) – Security Update 3162047
• Microsoft Office 2016 (32-bit edition) – Security Update 4011262
• Microsoft Office 2016 (64-bit edition) – Security Update 4011262

Індикатори компрометації:

• PGMB New Order 18-2077[.]xlsx (SHA-256) 7d85713beedbaf897e864eb337b3d00730c5458d6b08c68a5797d3d929a03dad
• major[.]exe (SHA-256) 6d848f12d3deaa824dada521babe5ad04458db587cd4fbf9e4916d2685f93d05
• hххp[:]//216.170.123.111/major[.]exe