HP: SandWorm смог продолжать вредоносную активность из-за неполноценного патча Microsoft

Как следует из сообщения исследователей безопасности из HP, у компании Microsoft был шанс предотвратить атаки с использованием червя SandWorm, однако разработчики не справились с поставленной задачей.

По данным экспертов, в утилите Windows Object Packager, уязвимость в которой и эксплуатирует SandWorm, уже устранялась аналогичная брешь . Ее описание и исправление публиковались в бюллетене безопасности MS12-005.

Исследователь HP Мэтт Ох (Matt Oh) подчеркивает, что обнаружил «поразительное сходство» между MS12-005 и последними исправлениями безопасности в MS14-060 и MS14-064, призванными блокировать вредоносную активность SandWorm.

«И MS12-005, и MS14-060 добавляют код, использующий идентификатор зоны для пометки файлов, как небезопасных, - пишет Ох. – С его помощью на экране пользователя отображается предупреждение о попытке запуска исполняемого файла. Это предоставляет пользователям дополнительную защиту – любой объект, внедренный во временную папку с документами Office, должен рассматриваться как потенциально опасный».

Эксперт также подчеркивает, что все три упомянутых патча разрешают одну и ту же проблему. Функционал MarkFileUnsafe был реализован в MS12-005 и тогда же был привязан к двум функциям Microsoft Office. В MS14-060 тоже самое исправление реализовано для трех дополнительных функций. А в MS14-064 «устранена очень похожая проблема, затрагивающая точно такую же функцию».

Ознакомиться с отчетом HP можно здесь .