Вчера стало известно, что в Windows присутствует уязвимость нулевого дня, которая уже пущена в ход злоумышленниками, Microsoft заявила, что в целевых атаках на уязвимости нулевого дня в ядре Windows и Adobe Flash, о которых недавно сообщила компания Google, стоит винить Sofacy – APT-группировку, которая, как полагают, тесно связана с ГРУ РФ, пишет Threatpost.
«Согласно блог-записи Google, новая проблема представляет собой баг повышения привилегий, кроющийся в ядре Windows. Исследователи предупреждают, что его можно использовать для исполнения кода за пределами песочницы.
О наличии новой бреши Microsoft была поставлена в известность десять дней назад. Исследователи предали уязвимость гласности в соответствии с политикой Google в отношении раскрытия таких инцидентов: согласно принятым в компании правилам, разработчик должен пропатчить или обнародовать брешь под атакой по истечении семи дней после получения отчета.
Microsoft пока ни то, ни другое не сделала и недовольна тем, что исследователи поторопились с публикацией. «Мы за скоординированное раскрытие уязвимостей, и то, что сделала Google, потенциально повышает риски для пользователей, – заявил представитель Microsoft журналистам Threatpost. – Windows – единственная платформа, гарантирующая клиентам расследование оформленных отчетом проблем с безопасностью и проактивное обновление затронутых устройств в кратчайшие сроки. В обеспечение лучшей защиты мы рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge»...»
«В Microsoft группировку называют Strontium; она также известна под именами APT28, Tsar Team и Sednit
По словам Microsoft, 0-day, о существовании которой в понедельник сообщила Google, будет запатчена 8 ноября. Google заявила, что 21 октября уведомила об обеих уязвимостях Microsoft и Adobe в частном порядке; бреши использовались совместно в целевых атаках против неназванных жертв. Adobe срочно выкатила внеочередной патч для Flash Player 26 октября, но в Microsoft наличие уязвимости не подтвердили вплоть до обнародования отчета Google. Microsoft раскритиковала действия Google и предоставила скудные сведения об уязвимости и связанных с ней атаках в корпоративном блоге.
«Мы считаем, что ответственная ИТ-компания ставит интересы клиентов превыше всего, и поэтому в случае обнаружения уязвимостей требуется координировать усилия, — сказал Терри Майерсон (Terry Myerson), исполнительный вице-президент подразделения Windows и устройств в Microsoft. – Решение Google опубликовать информацию об уязвимостях до того, как были готовы и протестированы патчи, разочаровало нас. Кроме того, оно поставило пользователей под удар».
Microsoft добавила, что работа над патчем ведется при содействии Google и Adobe, и сейчас его тестируют партнеры по экосистеме. Патч будет включен в регулярное обновление Microsoft, назначенное на 8 ноября.
Microsoft сказала, что хакеры провели узконаправленную целевую фишинговую кампанию. Sofacy нацелилась на стратегически важные организации: правительственные структуры, дипломатические учреждения, подрядчиков оборонной сферы, а также НКО.
«По данным Microsoft, STRONTIUM располагает большим количеством эксплойтов уязвимостей нулевого дня, чем любая известная APT-группировка в 2016 году», — сказал Майерсон.
Правительство США обвиняет Sofacy в атаках на DNC, в связи с чем российское правительство подозревают в попытках манипулировать ходом президентских выборов в США.
В атаках использовалась комбинация из двух уязвимостей нулевого дня, которая позволяла получить продолжительный доступ к скомпрометированной системе, подчеркнули в Microsoft. Сначала злоумышленники эксплуатировали уязвимость во Flash – изъян в использовании высвобожденной памяти в коде среды исполнения программ ActionScript. Получив таким образом контроль над процессами в браузере, хакеры использовали второй эксплойт против уязвимости в ядре Windows, которая имеется в версиях ОС от Windows Vista до Windows 10; это позволило злоумышленникам повысить привилегии и осуществить «побег» из «песочницы» браузера. Потом хакеры устанавливали бэкдор и получали полный доступ к компьютеру жертвы, выводя похищенные данные на удаленный сервер.
Как пояснили в Microsoft, уязвимый компонент win32k был усовершенствован новыми средствами противодействия эксплойтам. Бэкдор же может быть заблокирован при условии использования строгих политик целостности кода, которые по умолчанию заданы в браузере Microsoft Edge. Увенчались ли предполагаемые атаки успехом – неизвестно.
«У нас нет гарантий того, что злоумышленники не воспользуются альтернативными методами обхода этих мер безопасности, но Microsoft планирует решить эту проблему в рамках комплексного обновления, которое будет доступно в скором времени», — сказал Майерсон...»
security.googleblog.com
threatpost.ru
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...