В апреле 2017 года разработчики Microsoft представили исправление для уязвимости CVE-2017-0199, которая затрагивала Microsoft Office. На момент выхода патча этот 0-day баг уже взяли на вооружение злоумышленники, а также была опубликована подробная информация о проблеме. По данным специалистов Proofpoint, Netskope и FireEye, с помощью этой уязвимости на машины пользователей доставляли таких вредоносов, как Dridex, WingBird, Latentbot и Godzilla.
Лежащая в основе бага ошибка связана с некорректной обработкой ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), которая дает возможность встраивать одни документы внутрь других. После открытия зараженного документа приложение делает запрос на удаленный сервер, чтобы получить встроенный в этот документ файл. Сервер возвращает специально сформированный ответ. В нем содержится вpедоносный файл HTA, код из которого после загрузки выполняется на целевой системе. Нашу видеодемонстрацию работы эксплоита можно увидеть здесь.
Теперь специалисты Cisco и Trend Micro рассказали о новой вредоносной кампании, использующей эксплоит для уязвимости CVE-2017-0199. Если ранее для атак использовались документы Rich Text File (RTF), то сейчас злоумышленники переключились на PowerPoint Show (файлы PPSX), которые распространяются вместе со спамерскими письмами, в виде вложений.
Если жертва открывает вредоносный файл, она видит текст «CVE-2017-8570». Это идентификатор другой уязвимости в Microsoft Office, однако для атак используется не этот баг. Как только файл PPSX был открыт, происходит эксплуатация CVE-2017-0199: с помощью анимации PowerPoint Show запускается загрузка файла logo.doc, который содержит XML и JavaScript и запускает PowerShell-команду, приводящую к загрузке с управляющего сервера злоумышленников файла RATMAN.EXE и его выполнению. Специалисты пишут, что для компрометации компьютеров жертв используется вредоносная версия легитимного инструмента Remcos Remote Control, который предназначен для организации удаленного доступа и дает злоумышленникам практически неограниченные возможности.
Исследователи сообщают, что данная вредоносная кампания направлена преимущественно против предприятий электронной промышленности и, скорее всего, связана с экономическим шпионажем. Специалисты подчеркивают, что эксплуатация уязвимости CVE-2017-0199 обычно связана с RTF, и на этом построены практически все методики обнаружения таких атак. За счет использования файлов PPSX злоумышленники могут избегать внимания со стороны антивирусного ПО.