Microsoft Office内存损坏漏洞CVE-2017-11882是一个修补的Microsoft漏洞，允许攻击者执行任意代码执行。使用恶意Microsoft宏的攻击，总是一种破坏目标计算机的流行方法，比以往任何时候都更具破坏性

这种经过验证的方法背后隐藏着Microsoft Office内存损坏漏洞（CVE-2017-11882），这是一个允许攻击者执行任意代码执行的错误。在 Cofense情报部门周四发布的一份报告中，尽管自去年11月以来一直在修补，但它上个月仍有37％的恶意软件针对该漏洞。

8月发现的剩余18％的恶意软件主要由批处理脚本，PowerShell脚本和Microsoft Windows脚本组件（WSC）文件的下载程序组成（通常在游戏中出现）。

宏是一个主要问题

报告显示，通过电子邮件发送的武器化Microsoft Office文档保持其作为“传递机制”的强大保留。

当然，宏对于向端点提供恶意负载非常有意义，因为在提示时可以通过简单的单击鼠标来允许它们。并且，虽然默认情况下Microsoft在Microsoft Office中禁用它们，但是一些企业已将其打开，因此用户可能没有任何其他迹象表明任何问题。

“这使得启动感染链的第一阶段变得微不足道，这样使用的宏是嵌入式Visual Basic脚本，通常用于促进下载或直接执行其他有效负载。”

大量针对宏的恶意软件

研究人员发现虽然宏观方法易于执行并且入门门槛极低，但是针对的恶意软件包括最恶性的恶意软件，包括Geodo（占观察到的大多数宏观交付有效载荷），Chanitor / Hancitor（第二大交付的有效载荷），AZORult和GandCrab – 以及更多，如TrickBot。

“从简单机器人到勒索软件的不同类型恶意软件的范围表明，成熟和业余运营商都在使用这种车辆将有效载荷送到终端，”

已知的漏洞

该分析还发现，几乎与宏一样普遍，Microsoft Office公式编辑器组件中发现的CVE-2017-11882漏洞是用于传递恶意软件的第二大使用的攻击媒介。

“漏洞存在于公式编辑器组件中，当使用它时，它作为自己的进程运行（eqnedt32.exe），由于它的实现方式，它不支持数据执行保护（DEP）和地址空间布局随机化（ASLR）。恶意文档利用此漏洞执行命令。“

Microsoft Office内存损坏漏洞（CVE-2017-11882）正在被Osiris银行木马，FELIXROOT后门恶意软件以及被滥用为间谍软件（即Imminent Monitor）的合法工具所使用。

尽管新型文档攻击正在出现，目标是收件箱并且不需要宏来触发感染链 – 尽管使用轻量级脚本的秘密方法正在增加，但目前，宏仍然是网络犯罪分子手册中的首选，同时还有投注在未打补丁的机器上。因此，基本的安全卫生目前仍然是用户最好的第一道防线。

原文链接：https://threatpost.com/threatlist-microsoft-macros-remain-top-vector-for-malware-delivery/137428/