La CVE-2018-8174 "Double Kill" de plus en plus exploitée

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3269
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

La CVE-2018-8174 "Double Kill" de plus en plus exploitée

Message par charles » 05 juin 2018 09:05

Je vous en avait parlé lors de la sortie du patch tuesday du mois de mai (viewforum.php?f=211), la vulnérabilité VBScript "Double Kill" référencée sous la CVE-2018-8174 est activement exploitée et ce n'est pas fini !

En effet cette vulnérabilité se retrouve dans les kits prêts à l'emploi tels que Rig Exploit Kit, comme l'expliquent les chercheurs de Trend Micro pour miner de la crypto monnaie, ou encore un exploit pour Office 32 bits est désormais disponible pour Metasploit (https://github.com/0x09AL/CVE-2018-8174-msf).

Quelques IOCs remontés par Trend sur l’exploitation via Rig Exploit Kit :

Code : Tout sélectionner

Related Hashes (SHA-256):

    23A05DB7E30B049C5E60BF7B875C7EFC7DCD95D9B775F34B11662CBD2A4DD7B4 — Internet Explorer exploit (VBScript) for CVE-2018-8174 detected as VBS_CVE20188174.B
    BC1FD88BBA6A497DF68A2155658B5CA7306CD94BBEA692287EB8B59BD24156B4— Flash (SWF) exploit for CVE-2018-8174 detected as SWF_CVE20184878.O
    66E4E472DA1B128B6390C6CBF04CC70C0E873B60F52EABB1B4EA74EBD119DF18 — YUYMR (SmokeLoader)
    716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e92177600 — COINMINER_MALXMR.THDBFAK-WIN32 (Monero Miner)

Related IP Addresses and Malicious Domains:

    206[.]189[.]89[.]65
    46[.]30[.]42[.]18
    vnz[.]bit
    khuongduy[.]ru/z[.]txt

Gérard
Messages : 49
Enregistré le : 03 oct. 2016 11:00
Etablissement : LNA-Santé
Fonction : RSSI
CIL / DPO / DPD : Non

Re: La CVE-2018-8174 "Double Kill" de plus en plus exploitée

Message par Gérard » 05 juin 2018 11:02

Ça ressemble au "pocketball" mais ceux là il vaut mieux éviter de tous les attraper :lol:

Image

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »