Allerta Microsoft: nuova ondata di spam che sfrutta un bug di Office

Lo scorso venerdì la Microsoft ha emesso un avviso riguardante una campagna di spam che sembra abusare di una vulnerabilità di sicurezza nella sua suite di produttività Office. La campagna prevede l’invio di documenti dannosi che possono infettare gli utenti al momento dell’apertura del file RTF allegato. Per ora, la campagna di spam è rivolta agli utenti europei, ma non si esclude ovviamente la sua diffusione in tutto il mondo. L’account Security Intelligence di Microsoft ha annunciato la notizia in una serie di tweet venerdì pomeriggio.

Secondo i ricercatori Microsoft in materia di sicurezza, la campagna di spam in corso include documenti RTF che sfruttano la vulnerabilità di Microsoft Office e Wordpad CVE-2017-11882. Gli utenti possono essere infettati semplicemente aprendo il documento allegato. La vulnerabilità CVE-2017-11882 consente ai documenti RTF e Word di eseguire comandi proprio durante l’apertura. La vulnerabilità è stata corretta nel 2017, ma Microsoft sostiene che l’azienda ne percepisce ancora l’utilizzo in campagne di spam, in continuo aumento nelle ultime settimane. Microsoft raccomanda agli utenti di installare regolarmente gli aggiornamenti di sicurezza.

Microsoft spiega che quando viene aperto un allegato infetto, il file cercà di eseguire una serie di script scritti in VBScript, PowerShell, PHP e altri programmi per scaricare il “payload”. Questi script vengono generalmente scaricati da un repository di Pastebin. Secondo Microsoft, il “payload” che viene scaricato sul sistema di un utente infetto è un trojan backdoor eseguibile, programmato per connettersi a un dominio dannoso. Nonostante il dominio infetto sia stato eliminato, Microsoft chiede a tutti gli utenti Windows di installare al più presto l’aggiornamento di sicurezza per riparare questa vulnerabilità.