微软警告：发现Office漏洞恶意攻击打开就感染_6月9日消息

6月9日消息，微软(Microsoft)发布警告称，针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击，只要打开附件文件就可能感染用户。

微软称，这是一场针对欧洲地区的主动电子邮件恶意软件运动，散布了带有CVE-2017-11882漏洞的RTF文件，该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

CVE-2017-11882漏洞允许创建RTF和Word文档，一旦打开就自动执行命令。这一漏洞在2017年得到了修补，但微软表示，他们在过去几周再度看到使用此类漏洞的攻击有所增加。

根据微软的说法，当附件打开时，它将“执行不同类型的多个脚本(VBScript、PowerShell、PHP等)来下载有效负载。”

“当我们测试其中一个示例文档时，在打开该文档时，它立即开始执行从Pastebin下载的脚本，该脚本执行PowerShell命令。然后，这个PowerShell命令将下载一个base64编码的文件，并将其保存到%temp%\bakdraw.exe。然后将bakdraw.exe的副本复制到 %UserProfile% \ AppData \ Roaming \ SystemIDE 中，并将配置一个名为 SystemIDE 的调度任务来启动可执行文件并添加持久性。