Активно используемая уязвимость нулевого дня, связанная с Microsoft .NET Framework, вошла в перечень 25 критических и 54 важных брешей, закрытых компанией в рамках сентябрьского набора обновлений.

По словам Microsoft, уязвимость в .NET Framework (CVE-2017-8759) дает возможность злоумышленнику «перехватить управление системой». После этого атакующий сможет установить любые программы и просматривать, изменять или удалять данные, а также создавать новые учетные записи пользователя со всеми полномочиями.

«Чтобы воспользоваться этой брешью, взломщик сначала должен убедить пользователя открыть вредоносный документ или приложение», — сообщили специалисты Microsoft во вторник. В бюллетене не говорится, насколько широкое распространение получили атаки, но отмечено, что уязвимость классифицирована как «существенная» и была обнаружена ИБ-компанией FireEye.

По данным FireEye, уязвимость CVE-2017-8759 активно используется злоумышленниками для распространения шпионской программы FINSPY. Эксплойт раздается через вредоносные RTF-файлы Microsoft Office. Исследователи отметили, что данная брешь нулевого дня позволяет внедрить код и кроется в WSDL-парсере SOAP.

«Специалисты FireEye проанализировали документ Microsoft Word, с помощью которого злоумышленники осуществляли инъекцию произвольного кода для загрузки и выполнения сценария Visual Basic с командами PowerShell», — отметили исследователи Джинвей Цзян (Genwei Jiang), Бен Рид (Ben Read) и Том Беннетт (Tom Bennett) в блог-записи, также опубликованной во вторник.

Это уже вторая уязвимость нулевого дня, с помощью которой распространялся зловред FINSPY и которую выявили специалисты FireEye в 2017 году. Первая была найдена в апреле. Она использовалась в ходе спонсируемой неизвестным государством атаки против российских пользователей.

«Подобные открытия свидетельствуют о наличии значительных ресурсов для «законного внедрения» в компании и системы их клиентов.  Более того, зловред FINSPY был продан большому количеству заказчиков, и разумно полагать, что от эксплойта уязвимости пострадали и другие цели», — сообщили специалисты компании.

Компания Microsoft также опубликовала сведения о патче для уязвимости, атаки на которую известны как BlueBorne. Эту брешь обнаружили и представили общественности, также во вторник, эксперты ИБ-компании Armis.

Согласно Microsoft, очередной BlueBorne-баг (CVE-2017-8628), идентифицируемый как подмена драйвера Bluetooth, открывает атакующему возможность для успешной атаки man-in-the-middle. В результате злоумышленник сможет скрытно проводить трафик жертвы через свой компьютер.

Для успешной атаки на целевом устройстве должен быть включен Bluetooth, а атакующий должен находиться в радиусе его действия. По словам специалистов Microsoft, «злоумышленник может инициировать Bluetooth-соединение с целевым компьютером без ведома пользователя» и провести атаку.

«Патчи к уязвимостям, предполагающим физическую близость к устройству, выпускаются редко, и Bluetooth-атаки — очевидное исключение, — пишет Дастин Чайлдс (Dustin Childs) в блоге Zero Day Initiative (ZDI).— В Windows этот баг не позволяет выполнить код напрямую через Bluetooth. Тем не менее, атака man-in-the-middle — весьма серьезная угроза, достойная пристального внимания».

Критическая уязвимость удаленного исполнения кода пропатчена также в NetBIOS (CVE-2017-0161). По словам Microsoft, проблема проявляется в службе сеансов NetBT, когда ей не удается сохранить определенную очередность действий. «Чтобы воспользоваться уязвимостью, злоумышленнику потребуется отправить на уязвимую систему специальные пакеты службы сеансов NetBT», — сказано в бюллетене.

Участники ZDI в своем отчете подчеркнули, что NetBIOS не является маршрутизируемым протоколом, поэтому потенциальный ущерб будет ограниченным. «Но есть и плохие новости: в локальной сети эксплойт будет почти повальным. Кроме того, возможно заражение множества виртуальных клиентов, если все гостевые ОС подключены к одной и той же (виртуальной) локальной сети», — предупреждают исследователи.

Совокупно Microsoft выпустила 81 заплатку для Windows, Internet Explorer, Edge, Exchange, .NET Framework, Office и Hyper-V. При этом 26 уязвимостей признаны критическими, 53 — важными, и лишь две получили оценку «средней тяжести». Если говорить предметно, то 38 уязвимостей затрагивают Windows, а 22 привязаны к браузерам Microsoft Edge и IE.

«Много брешей нашлось в движке Scripting Engine, это может отразиться на безопасности обоих браузеров и пакета Microsoft Office. По этой причине их в первую очередь следует закрыть на рабочих станциях, активно использующих электронную почту и браузеры», — отметил в блоге Qualys Джимми Грэм (Jimmy Graham), руководитель отделов управления продуктами и уязвимостями в ИБ-компании.

Категории: Аналитика, Главное, Кибероборона, Уязвимости