Уязвимости эксплуатируются кибершпионскими группировками, предположительно имеющими российское происхождение.
Во вторник, 9 мая, Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов. В общей сложности патчи исправляют 55 уязвимостей в продуктах компании, три из которых уже эксплуатируются кибершпионскими группировками.
Две из трех исправленных уязвимостей нулевого дня (CVE-2017-0261 и CVE-2017-0262) затрагивают Microsoft Office и позволяют удаленно выполнить код. Проблема связана с тем, как Microsoft Office обрабатывает графические файлы в формате Encapsulated PostScript (EPS).
По данным FireEye, CVE-2017-0261 эксплуатируется с конца марта текущего года хакерами из группировки Turla, предположительно имеющей российское происхождение. Эксплоит для уязвимости распространяется посредством электронных писем, содержащих вредоносный документ Word со встроенным вредоносным EPS-контентом.
Turla, также известная как Snake и Uroburos, активна с 2007 года и связывается исследователями с самой продолжительной за всю историю кибершпионской кампанией. По данным экспертов Fox-IT и Palo Alto Networks, группировка является разработчиком недавно обнаруженного совершенно нового поколения троянов Kazuar, обладающего инновационными функциями.
Уязвимость CVE-2017-0262 также связана с обработкой Microsoft Office EPS-файлов. Проблема эксплуатируется группировкой APT 28 (другие названия Fancy Bear и Pawn Storm). APT 28 часто связывается ИБ-экспертами с российскими спецслужбами и обвиняется правительством США во взломе летом прошлого года Национального комитета Демократической партии.
Эксплоит для уязвимости распространялся в электронных письмах со вложенным документом, посвященным решению Дональда Трампа в прошлом месяце атаковать Сирию. Сама уязвимость связана с CVE-2017-0263, позволяющей повысить привилегии и также исправленной 9 мая.
CVE-2017-0262 технически была исправлена вчера, однако пользователи, установившие обновления в прошлом месяце, уже защищены от ее эксплуатации. Дело в том, что апрельские патчи в целях безопасности отключают в Microsoft Office фильтр EPS.
Напомним, до выхода плановых обновлений Microsoft выпустила экстренный патч для критической уязвимости в Microsoft Malware Protection Engine (CVE-2017-0290).
Ладно, не доказали. Но мы работаем над этим