Май „Update Tuesday“ от Microsoft донесе корекции за повече от 50 уязвимости
17 проблема са надстроени до критични.
Разработчиците на Microsoft пишат, че са работили върху някои корекции заедно със специалисти от ESET и FireEye и изследователите вече са представили свои доклади за откритите уязвимости (1, 2).
От особен интерес са три 0-дневни уязвимости, открити от анализатори. Факт е, че според експерти тези критични бъгове са били експлоатирани от български „правителствени хакери“, по-специално от групата Turla (известна още като Waterbug, KRYPTON и Venomous Bear).
Втората и третата 0-дневна уязвимост бяха идентифицирани като CVE-2017-0262 (RCE в Microsoft Word) и CVE-2017-0263 (локална ескалация на привилегии в Windows) и бяха използвани заедно. Според експерти тези бъгове са експлоатирани от друга известна група „правителствени хакери“ – APT28 (известни още като Fancy Bear, Sofacy, Sednit, Tsar Team, Pawn Storm, Strontium). Изследователите пишат, че нападателите са използвали тези проблеми по време на скорошна атака срещу предизборния щаб на новия френски президент Еманюел Макрон.
За да доставят зловреден софтуер на машините на жертвите, членовете на APT28 използваха добрия стар фишинг. По този начин експлойти за горните уязвимости бяха разпространени чрез злонамерения файл Trump’s_Attack_on_Syria_English.docx и в резултат на това на компютрите на жертвите беше инсталиран персонализиран зловреден софтуер Seduploader и GAMEFISH, който беше използван както за кражба на данни, така и за доставяне на допълнителни злонамерени решения към системата.
В допълнение към изброените 0-day уязвимости, друг 0-day бъг също беше коригиран през май - CVE-2017-0222, свързан с нарушение на целостта на паметта в Internet Explorer, което позволява отдалечено изпълнение на произволен код. Този проблем обаче не е такъвнито обикновените кибер-измамници, нито APT-групите успяха да ги възприемат.