微軟表示，這波垃圾郵件浪潮似乎主要針對歐洲用戶，因為這些電子郵件是用各種歐洲語言發(fā)送的。微軟安全情報團(tuán)隊說：“在新的攻擊中，RTF文檔下載并運行不同類型的多個腳本(VBScript、PowerShell、PHP等)來下載負(fù)載?！?

        微軟發(fā)現(xiàn)，最后的有效載荷是個后門特洛伊木馬。幸運的是，到微軟發(fā)布安全警報時，這種特洛伊木馬的命令和控制服務(wù)器似乎已經(jīng)關(guān)閉。

        但是，未來的攻擊活動始終存在這樣的危險，即利用相同的策略傳播連接到工作服務(wù)器的新版后門特洛伊木馬，從而使黑客能夠直接訪問被感染的電腦。

        使用歐洲語言的這波惡意軟件攻擊分發(fā)帶有CVE-2017-11882漏洞的TTF文件，這使得攻擊者能夠在不需要與用戶交互的情況下自動運行惡意代碼。

        好消息是用戶可以完全不受這些垃圾郵件攻擊的影響。最初的感染媒介依賴于微軟在2017年11月修補(bǔ)的舊Office漏洞。應(yīng)用2017年11月補(bǔ)丁進(jìn)行安全升級的用戶應(yīng)該是安全的。

        被利用的漏洞名為CVE-2017-11882，這是Office安裝附帶舊版本表達(dá)式編輯器組件中漏洞的代號，除微軟較新的表達(dá)式編輯器模塊外，還用于兼容性目的。

        早在2017年，Embedi的安全研究人員就在這個較舊的組件中發(fā)現(xiàn)了一個漏洞，當(dāng)用戶打開包含特殊漏洞的“武器化”O(jiān)ffice文件時，黑客就可以在用戶的設(shè)備上執(zhí)行代碼，而無需任何用戶交互。

        由于微軟似乎丟失了此舊組件的源代碼，并且在2018年發(fā)現(xiàn)第二個表達(dá)式編輯器錯誤后，該公司于2018年1月決定將舊的表達(dá)式編輯器組件從Office Pack中全部刪除。但是，眾所周知，許多用戶和公司經(jīng)常失敗或忘記及時安裝安全更新。

        自2017年底以來，惡意軟件運營商就開始利用這一漏洞，并將其“武器化”，因為他們知道，他們將有充足的時間利用用戶的健忘特性，他們不會受到安全更新的困擾。

        這些黑客一次又一次地利用這個漏洞。Recorded Future的報告曾將CVE-2017-11882列為2018年第三大容易被利用的漏洞，而類似的卡巴斯基報告也將其排在列表首位。

        CVE-2017-11882漏洞本身具有天然優(yōu)勢，因為它不需要用戶交互，與大多數(shù)Office漏洞攻擊不同，后者要求用戶通過彈出窗口啟用宏或禁用各種安全功能。