CVE-2017-11882: Zwei Jahrzehnte alte Schwachstelle in Microsoft Office wird weiterhin aktiv für Malware-Übermittlung genutzt
Inhaltsverzeichnis:
Obwohl sie schon seit drei Jahren gepatcht ist, verlassen sich Hacker Berichten zufolge auf eine alte Remote-Code-Ausführbarkeitslücke in Microsoft Office (CVE-2017-11882), um Opfer mit Malware zu infizieren. Laut der Bedrohungsanalyse Bericht von HP Bromium macht die Schwachstelle fast drei Viertel aller in Q4 2020 genutzten Exploits aus.
CVE-2017-11882 Beschreibung
CVE-2017-11882 ist ein Speicherfehler in Microsoft Office’s Equation Editor, der die Ausführung von Remote-Code auf anfälligen Geräten ermöglicht. Hacker könnten die Schwachstelle ausnutzen, indem sie Benutzer dazu verleiten, eine speziell gestaltete Datei zu öffnen. Bei erfolgreicher Ausnutzung erlangen Angreifer die Fähigkeit, beliebigen Code im Kontext des aktuellen Benutzers auszuführen. Wenn der Benutzer mit administrativen Rechten angemeldet ist, könnten Angreifer die volle Kontrolle über die angegriffene Instanz übernehmen.
Die Schwachstelle wurde vor fast 20 Jahren in Microsoft Office eingeführt und durch den Anbieter im Jahr 2017 mit dem November Patch Tuesday Update behoben. Dennoch hat die offizielle Behebung die Angreifer nie davon abgehalten, diese aktiv auszunutzen. Seit 2017 wurde die Schwachstelle kontinuierlich genutzt, um verschiedene Malware-Samples zu verbreiten, darunter Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla und mehr. Die extrem hohe Beliebtheit der Exploits für den Equation Editor einschließlich CVE-2017-11882 resultiert aus der Tatsache, dass Microsoft Office-Benutzer ihre Systeme häufig nicht rechtzeitig aktualisieren und damit eine Tür für Hacker offen lassen.
CVE-2017-11882 Exploitation in freier Wildbahn
Die gemeinsame Untersuchung des Department of Homeland Security, des FBI und der US-Regierung setzt CVE-2017-11882 auf die Liste der von fortgeschrittenen Bedrohungsakteuren am häufigsten genutzten Schwachstellen in ihren bösartigen Operationen. Laut dem Bericht nutzen chinesische, nordkoreanische und russische Hacker den Microsoft Office-Fehler kontinuierlich mindestens seit 2016.
Laut der HP Bromium-Analyse hat sich dieser Trend im Jahr 2020 nur verstärkt, was CVE-2017-11882 zum Top-Exploit für das Q3-Q4 2020 macht. Besonders im dritten Quartal 2020 machte die Microsoft Office-Schwachstelle fast 90% der genutzten Exploits aus. Und im vierten Quartal 2020 setzten 74% aller Cyber-Angriffe auf ungepatchte Exploits auf CVE-2017-11882.
Erkennung und Minderung
Angesichts der extremen Beliebtheit von CVE-2017-11882 werden Benutzer aufgefordert, ihre Dienste so schnell wie möglich zu aktualisieren, um sicher zu bleiben. Um mögliche Cyber-Angriffe zu erkennen, die die Schwachstelle gegen Ihre Systeme ausnutzen, können Sie eine aktuelle Community Sigma-Regel von unserem engagierten Threat Bounty Entwickler Aytek Aytemur:
https://tdm.socprime.com/tdm/info/vXBEcFu7I9p6/Zbvhg3gBcFeKcPZnWpvo
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Ausführung, Entdeckung
Techniken: Ausnutzung für die Client-Ausführung (T1203), Abfrage-Registry (T1012), Systeminformationsentdeckung (T1082)
Außerdem können Sie die vollständige Liste der CVE-2017-1182 Erkennungen im Threat Detection Marketplace erkunden. Bleiben Sie auf unserem Blog für weitere Updates.
Abonnieren Sie den Threat Detection Marketplace kostenlos und erreichen Sie die branchenweit erste SOC-Inhaltsbibliothek mit über 100.000 Erkennungs- und Reaktionsregeln, die mit der MITRE ATT&CK Matrix abgebildet sind und auf Ihre verwendete Sicherheitslösung anwendbar sind. Sind Sie inspiriert, Ihre eigenen Sigma-Regeln zu entwickeln? Treten Sie unserem Threat Bounty Programbei! Begeistert, Ihre Fähigkeiten zur Bedrohungserkennung zu verbessern? Lesen Sie unsere Sigma-Regel-Leitfaden für Anfänger.
