Microsoft исправила 0-Day уязвимость в MS Office

image

Теги: Microsoft, 0-Day, уязвимость, DNS, патч, произвольный код

В числе прочих, компания устранила критическую проблему CVE-2017-11779, связанную с DNS-клиентом в составе Windows 8 и более поздних версий ОС.

В рамках октябрьского «вторника исправлений» компания Microsoft выпустила обновления безопасности, устраняющие в общей сложности 62 уязвимости в продуктах производителя, в том числе критическую проблему (CVE-2017-11826) в пакете MS Office.

CVE-2017-11826 представляет собой уязвимость повреждения памяти, позволяющую удаленному атакующему выполнить произвольный код, обманом заставив жертву открыть специально сформированный файл. Проблема затрагивает все поддерживаемые версии MS Office.

Уязвимость была выявлена исследователями из китайской компании Qihoo 360. По словам специалистов, она была проэксплуатирована в атаках на ряд клиентов компании в конце сентября нынешнего года. Команда Qihoo 360 не раскрыла подробности об операции, указав лишь, что атакующие использовали фишинг для того, чтобы заставить пользователей открыть вредоносный документ. В результате на компьютер жертвы загружался троян для хищения конфиденциальной информации с инфицированных устройств.

В числе прочих Microsoft устранила уязвимость CVE-2017-11779, связанную с DNS-клиентом, входящим в состав Windows 8, Windows 10, Windows Server 2012 и Windows Server 2016. Проблема затрагивает файл DNSAPI.dll (файл, который обрабатывает DNS-запросы и получает ответы от сервера). Данной проблеме подвержены только Windows 8 и более поздние версии ОС, поскольку уязвимость заключается в том, как DNSAPI.dll обрабатывает DNS-запросы через протокол DNSSEC – более безопасную версию классического DNS протокола. Windows 8 стала первой редакцией ОС с поддержкой протокола DNSSEC.

Уязвимость, обнаруженная экспертом компании BishopFox Security Ником Фримэном (Nick Freeman), позволяет атакующему отправить специально сформированный ответ DNS и выполнить произвольный код на системе в контексте приложения, сделавшего DNS-запрос. Для эксплуатации проблемы злоумышленнику потребуется настроить вредоносный DNS-сервер и перехватить DNS-трафик. Теперь атакующему нужно только ждать, когда приложения с правами администратора или системы сделают DNS-запрос.

Как поясняет исследователь, основная служба кэширования Windows DNS, использующая файл DNSAPI.dll автоматически перезапустится, если произойдет сбой. Таким образом злоумышленник получит возможность эксплуатировать уязвимость неограниченное число раз до тех пор, пока не получит доступ к системному уровню.

Единственная хорошая новость заключается в том, что специально сформированные DNS пакеты, необходимые для эксплуатации проблемы, не могут проходить через легитимные DNS-серверы, так как будут удалены. Для успешной атаки преступник должен находиться в той же сети, что и жертва (корпоративная сеть Wi-Fi, локальная сеть и т.д.) или с помощью методов социальной инженерии обманом заставить жертву по умолчанию использовать вредоносный DNS-сервер.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus