Microsoft исправила три уязвимости нулевого дня
Девятого мая компания Microsoft выпустила ежемесячный апдейт для защиты собственной продукции. В итоге было исправлено пятьдесят пять багов в программном обеспечении, три из них давно используются хакерскими командами.
Две из трех критических уязвимости 0day касаются MS Office и дают возможность удаленного выполнения команд. Данная уязвимость связана с обработкой файлов изображений формата PostScript.
По информации FireEye, уязвимость находится в эксплуатации с середины весны 2017 года киберпреступниками из команды Turla, которые потенциально находятся в Российской Федерации. Код-эксплоит для бага рассылают в спам-рассылках, которые включают в себя специальный файл MS Word, в который встроен вредоносный скрипт.
Команда Turla известна также под именами Uroburos и Snake, действует с 2007 года и эксперты предполагают ее участие в наиболее длительной за все время шпионской операции. Как считают исследователи из FoxIT и Palo Alto, команда разработала недавно найденный экспертами вредоносный троянский бот Kazuar, у которого есть множество неиспользуемых прежде функций.
Следующая уявзимость также касается MS Office и EPS скриптов. Уязвимость масштабно используется группой APT28 (также известной как FancyBear и PawnStorm). Эта хакерская команда часто предполагается экспертами в связях с государственными службами Российской Федерации и власти Соединенных Штатов Америки обвиняют ее в кибернападениях на серверы и штат партии демократов.
Код для эксплуатации баги также рассылался при помощи спама с документов, который касается решения президента Соединенных Штатов прежде производить нападения на Сирию. Уязвимость имеет отношение к другой, которая дает возможность повышать права при взломе. Обе уязвимости были исправлены девятого мая.
Третья уязвимость по сути была исправлена прежде как хотфикс, но патч попросту отключал фильтр ESP в MS Office, однако по сути убирал симптомы, оставляя саму проблему нерешенной.