Microsoft устранит незакрытую брешь нулевого дня в Internet Explorer в ближайший вторник. В мартовский набор патчей разработчик включил пять бюллетеней, двум из которых присвоен статус «критический».

О данной 0-day уязвимости в IE 10 стало известно около месяца назад, когда FireEye сообщила об обнаруженной ею новой киберкампании, запущенной с целью шпионажа. В ходе этих атак, которые эксперты нарекли Operation SnowMan (операция «Снежный человек»), был скомпрометирован веб-сайт американских ветеранов vfw.org. По словам экспертов, атакующие внедрили в HTML-код одной из страниц сайта iFrame, который в фоновом режиме подгружал стороннюю страницу с вредоносным Flash-объектом. Запуск этого SWF-файла инициировал эксплойт уязвимости use-after-free (возможность использования освобожденной памяти) в браузере. После его отработки на машину жертвы устанавливался троянец удаленного доступа, ориентированный на кражу данных. FireEye не исключает, что целью атакующих была закрытая информация, которой могли располагать некоторые посетители vfw.org.

Новой лазейкой вскоре воспользовалась другая, не связанная с SnowMan группа злоумышленников. На сей раз эксплойт, по свидетельству Seculert, помогал загрузить вредоносную программу, вносящую изменения в файл hosts. К такому трюку обычно прибегают фишеры, чтобы направить пользователей на свои страницы-ловушки, однако инициаторы данной атаки преследовали иную цель. Зловред добавлял в hosts-файл адреса серверов удаленного доступа, которые злоумышленники выдавали за ресурсы французской компании, специализирующейся на аэрокосмических исследованиях и разработках. «Мы впервые сталкиваемся со зловредом, который подменяет файл hosts отнюдь не для фарминга или блокировки доступа к конкретным сайтам», — заявил Авив Рафф (Aviv Raff), технический директор Seculert.

Чтобы уменьшить риски, связанные с активно используемой брешью, Microsoft в качестве временной меры обновила Fix-It. По словам разработчика, данная 0-day уязвимость актуальна и для IE 9, а IE 11 в тандеме с EMET можно считать хорошо защищенным.

Помимо опасной уязвимости в IE мартовский набор обновлений от Microsoft закроет еще одну критическую брешь, создающую возможность для удаленного выполнения кода. При этом и критические, и важные бюллетени касаются всех версий Windows, вплоть до ХР, поддержка которой прекратится 8 апреля.

«Windows XP затрагивают все пять обновлений, и такое положение вещей вряд ли изменится, — комментирует Вольфганг Кандек (Wolfgang Kandek), технический директор Qualys. — Windows XP по-прежнему будет страдать от большинства уязвимостей, выявляемых в экосистеме Windows, но исправить их уже не удастся. Тем, кто сохранит ХР в своей инфраструктуре, придется разрабатывать какую-то стратегию. Согласно нашим сканам, количество ХР-машин все еще значительно».

Три обновления безопасности, квалифицируемые как важные, устраняют возможность повышения привилегий, а также обхода защитных механизмов Windows и Silverlight.

Категории: Уязвимости