Microsoft устранила три 0-day уязвимости, которые эксплуатировали российские хакеры

Майский «вторник обновлений» от компании Microsoft принес патчи более чем для 50 уязвимостей в Windows, Internet Explorer, Edge, Office, .NET framework, а также Flash Player, так как компания Adobe традиционно подготовила свою порцию исправлений. 17 проблем получили статус критических.

Разработчики Microsoft пишут, что над некоторыми исправлениями они работали совместно со специалистами компаний ESET и FireEye, и исследователи уже представили собственные отчеты о найденных уязвимостях (1, 2).

Особенный интерес представляют три 0-day уязвимости, обнаруженные аналитиками. Дело в том, что по данным специалистов, эти критические баги эксплуатировали российские «правительственные хакеры», в частности из группировки Turla (также известной под именами Waterbug, KRYPTON и Venomous Bear).

Первая из трех 0-day уязвимостей получила идентификатор CVE-2017-0261 и затрагивает Office EPS (Encapsulated PostScript). Эту уязвимость злоумышленники использовали в сочетании с другим багом (CVE-2017-0001), позволяющим повысить привилегии в системе. Специалисты FireEye пишут, что таким образом хакеры Turla доставляли на машины жертв основанную на JavaScript малварь Shirime. Кроме того, проблему эксплуатировали и «простые» хакеры, преследующие финансовую выгоду.

Напомню, что о баге в Office EPS специалисты узнали еще в марте, но патч не вошел в состав апрельского вторника обновлений, вместо этого разработчики временно решили проблему отключением EPS по умолчанию и крайне не рекомендовали включать его обратно.

Вторая и третья 0-day уязвимости получили идентификаторы CVE-2017-0262 (RCE в Microsoft Word) и CVE-2017-0263 (локальная эскалация привилегий в Windows), и использовались совместно. По данным специалистов, данные баги эксплуатировала другая известная группа «правительственных хакеров» — APT28 (также известная как Fancy Bear, Sofacy, Sednit, Tsar Team, Pawn Storm, Strontium). Исследователи пишут, что злоумышленники использовали эти проблемы во время недавней атаки на избирательный штаб нового президента Франции Эммануэля Макрона.

Для доставки малвари на машины жертв члены APT28 использовали старый добрый фишинг. Так, эксплоиты для вышеуказанных уязвимостей распространялись через вредоносный файл Trump’s_Attack_on_Syria_English.docx, и в итоге на компьютеры пострадавших устанавливалась кастомная малварь Seduploader и GAMEFISH, которая использовалась как для хищения данных, так и для доставки в систему дополнительных вредоносных решений.

Помимо перечисленных 0-day брешей, также в мае был устранен еще один 0-day баг — CVE-2017-0222, связанный с нарушением целостности памяти в Internet Explorer, что позволяло осуществить удаленное выполнение произвольного кода. Однако данную проблему не успели взять на вооружение ни обычные кибермошенники, ни APT-группы.