Киберпреступники используют баг в Microsoft Equation для обхода антивирусов

Киберпреступники используют баг в Microsoft Equation для обхода антивирусов

Задействовав цепочку уязвимостей, злоумышленники могут внедрить любое вредоносное ПО на скомпрометированную систему.

Киберпреступная группировка из Сербии активно использует уязвимость (CVE-2017-11882) в редакторе формул Microsoft Equation для обхода песочниц и антивирусов. В прошедшие месяцы специалисты команды Mimecast Research Labs заметили несколько вариантов вредоносного кода, эксплуатирующего вышеозначенную уязвимость совместно с другим, еще неисправленным багом в MS Word.

Напомним, CVE-2017-11882 , позволяющая удаленно выполнить код, затрагивает пакеты Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016. Проблема была исправлена Microsoft в ноябре 2017 года. По словам специалистов, баг «может быть проэксплуатирован для внедрения любой полезной нагрузки в OLE файл и может использоваться совместно практически c любой уязвимостью в MS Word».

Новая уязвимость (пока не получила идентификатор CVE) связана с тем, как Word обрабатывает ошибки целочисленного переполнения в формате OLE. Исследователи сообщили Microsoft об уязвимости в минувшем году, а также предоставили PoC-эксплоит, однако в компании отказались выпускать патч, мотивировав решение тем, что баг не ведет к повреждению памяти или удаленному выполнению кода и потому не требует исправления.

Как пишут специалисты, проэксплуатировав вышеописанную уязвимость, атакующие могут применить эксплоит для CVE-2017-11882, получить права администратора и внедрить любое вредоносное ПО. В случае с сербской хакерской группировкой это был новый вариант бэкдора JACKSBOT, позволяющий получить полный контроль над скомпрометированной системой.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!