A Hacking Group Is Already Exploiting the Office Equation Editor Bug

Uma semana após os detalhes sobre uma grave vulnerabilidade do Microsoft Office terem surgido, pelo menos um grupo criminoso agora está usando isso para infectar os usuários.

O grupo não é seu botnet de spam regular, mas uma operação ciber-criminal conhecida pelos pesquisadores de segurança como Cobalt, uma roupa de pirataria que atingiu bancos, redes ATM e instituições financeiras nos últimos dois anos.

CVE-2017-11882 usado pelo grupo de hacking Cobalt

De acordo com o Reversing Labs , uma empresa de segurança cibernética baseada no Reino Unido, o grupo Cobalt agora está espalhando documentos RTF para metas de alto valor que são atadas com explorações que aproveitam o CVE-2017-11882.

Esta é uma vulnerabilidade no componente Office Equation Editor que permite que um invasor execute o código nos computadores das vítimas sem a interação do usuário.

Você não precisa de um veterano grisalho da comunidade de infosec para lhe dizer que uma vulnerabilidade com tais resultados seria incrivelmente valiosa para qualquer organização cibercriminosa.

Além do dano que esta vulnerabilidade pode fazer, a adoção rápida de Cobalt de CVE-2017-11882 foi provavelmente apoiada pela disponibilidade de quatro provas de conceito de conceito (PoC) que foram publicadas on-line na semana passada [ 1 , 2 , 3 , 4 ].

De acordo com o Reversing Labs, o Cobalt está atualmente enviando emails atados com um arquivo RTF atrapalhado que utilizaria uma exploração CVE-2017-11882 para baixar e executar arquivos maliciosos adicionais. A cadeia de infecção passaria por várias etapas, mas no final, ele iria baixar e carregar um arquivo DLL mal-intencionado que ainda não havia sido analisado em maior profundidade.

Proofpoint Matthew Mesa também viu os mesmos e-mails, mas viu uma cadeia de exploração ligeiramente diferente.

Cobalt saltou nos bugs da Microsoft antes

Quanto ao grupo Cobalt, eles têm uma história de saltar sobre os erros da Microsoft assim que eles são divulgados e armas para suas campanhas. O mesmo aconteceu com o CVE-2017-8759 , uma vulnerabilidade remota de execução de código que afetou o .NET Framework, corrigido pela Microsoftno Patch de setembro de 2017, na terça-feira.

As empresas de segurança começaram a documentar o grupo Cobalt em 2016, quando foi descoberto bater caixas eletrônicos e instituições financeiras em toda a Europa. O grupo então se espalhou para metas nas Américas, e mais tarde também visou bancos russos, usando o espaço ex-soviético como campo de testes para novos ataques, antes de se mudar para alvos mais ricos em outros lugares.

A família de malware mais conhecida do grupo é Cobalt Strike, com o nome de um software de teste de penetração comercial idêntico porque usa alguns de seus componentes.

Patch agora, antes que a vulnerabilidade seja explorada em massa

Como já vimos no passado, não demora muito para uma vulnerabilidade escorrer de grupos profissionais de ciber-criminosos para pastores de botnet de spam, uma vez que os PoCs públicos estão disponíveis.

Os usuários devem aplicar as atualizações do Windows KB2553204, KB3162047, KB4011276 e KB4011262 , incluídas no Patch de novembro de 2017, para se proteger contra a exploração CVE-2017-11882.

Fonte: BleepingComputer