Fortinet descubre un hallazgos con respecto a una vulnerabilidad, CVE-2017-11882, que fue reparada por Microsoft en noviembre de 2017.
El malware, que explota esta vulnerabilidad, se estaba distribuyendo como un documento RTF (Rich Text Format), llamado " RFQ File.doc ".
Esta vulnerabilidad se difunde enviándolo como un archivo adjunto o como un objeto descargable desde un sitio web.
Características
El documento contiene un objeto que está rellenado con caracteres que el analizador arroja, como espacio, tabulación, y avances de línea. Esto hace que el analizador, Microsoft Word en este caso, sufra una condición de desbordamiento del búfer. Cuando esto sucede, el pirata informático suministrado Shellcode se descifra y se ejecuta.
El objetivo de Shellcode es descargar y ejecutar persianlegals.com/wp-includes/js/gist.exe. Este es un archivo autoextraíble que contiene Remcos RAT.
Consecuencias
El software de Microsoft Office podría permitir que un atacante remoto ejecute código arbitrario en el sistema, causado por un manejo inadecuado de los objetos en la memoria.
Mitigación
- Asegúrese de que se haya aplicado el parche de Microsoft Office para la vulnerabilidad CVE-2017-11882.
- Asegúrese de que el software antivirus y las bibliotecas asociadas estén actualizados.
Fuente: Exchange.xforce.ibmcloud.com