USD 66.24 ЕВРО 75.71

Microsoft исправила 55 уязвимостей, из которых 3 эксплуатируются российскими кибершпионами

Экономика

Microsoft исправила 55 уязвимостей, из которых 3 эксплуатируются российскими кибершпионами

Исправлены критические уязвимости в Windows, Office, Edge, Internet Explorer и механизме защиты от вредоносных программ.
Во вторник Microsoft выпустила патчи безопасности для 55 уязвимостей в своих продуктах, в том числе для трех уязвимостей, которые уже используются в адресных атаках кибершпиов.
Пятнадцать уязвимостей, исправленных в пакете исправлений Microsoft в мае, считаются критическими. Они влияют на Windows, Microsoft Office, Microsoft Edge, Internet Explorer и механизм защиты от вредоносных программ, используемый в антивирусных продуктах компании.
Системным администраторам следует отдать приоритет установке патчей Microsoft Office, поскольку они касаются двух уязвимостей, которые злоумышленники использовали в целевых атаках в течение последних двух месяцев. Обе уязвимости (CVE-2017-0261 и CVE-2017-0262) связаны с тем, как Microsoft Office обрабатывает файлы изображений Encapsulated PostScript (EPS), что может привести к удаленному выполнению кода в уязвимой системе.
По словам исследователей из FireEye, уязвимость CVE-2017-0261 эксплуатировалась с конца марта неизвестной бандой финансово мотивированных хакеров и российской группой кибершпионов Turla.
Известная также как Snake или Uroburos, группа Turla активна, по крайней мере, с 2007 года. Она несет ответственность за некоторые из самых сложных на сегодняшний день атак в целях кибершпионажа. Ее целями обычно являются государственные структуры, разведывательные агентства, посольства, военные организации, научно-исследовательские и учебные заведения и крупные корпорации.
Эксплойты CVE-2017-0261 появились в виде документов Word со встроенным вредоносным EPS-контентом, которые распространялись по электронной почте. Атакующие также пытались использовать уязвимость эскалации Windows-привилегий CVE-2017-0001, которую Microsoft исправила 14 марта.
В апреле исследователи из FireEye и ESET обнаружили другую кампанию кибершпионажа, использующую вторую уязвимость EPS, которая была исправлена во вторник (CVE-2017-0262). След этих атак ведет к российской группе кибершпионов, известной в сфере безопасности как APT28, Fancy Bear или Pawn Storm.
APT28 — это группа, обвиненная во взломе Демократического национального комитета США в прошлом году во время президентских выборов. Выбор целей группы на протяжении многих лет отражал геополитические интересы России, и многие исследователи полагают, что APT28 связана с российской службой военной разведки (ГРУ).
Прошлые атаки APT28 продемонстрировали, что группа имеет доступ к арсеналу эксплойтов нулевого дня — для ранее неизвестных уязвимостей. Их эксплойт для CVE-2017-0262 был распространен в ложном документе о решении президента Дональда Трампа начать атаку в Сирии в прошлом месяце, и был соединен с другим эксплойтом нулевого дня для уязвимости эскалации привилегий Windows (CVE-2017-0263), которая была исправлена во вторник.
Несмотря на то что уязвимость EPS CVE-2017-0262 технически была исправлена во вторник, пользователи, установившие обновления Microsoft Office, выпущенные в апреле, были защищены от нее. Это связано с тем, что эти обновления отключили фильтр EPS в Office в качестве меры защиты, пишут исследователи Microsoft во вторник в блоге.
Системным администраторам следует также установить обновления безопасности этого месяца для Internet Explorer и Edge, поскольку они устраняют критические уязвимости, которые могут эксплуатироваться при посещении вредоносных веб-сайтов или просмотре специально созданных рекламных объявлений внутри браузера. Одна из исправленных уязвимостей IE уже эксплуатируются злоумышленниками, а пропатченная в Edge, публично раскрыта.
В списке приоритетов должны быть и обновления для Windows, поскольку они устраняют несколько уязвимостей удаленного выполнения кода в сетевом протоколе общего доступа к файлам — SMB. Эти уязвимости подвергают риску взлома системы Windows и сервера, если они используют SMBv1.
Наконец, пользователи антивирусных продуктов Microsoft, в том числе Windows Defender и Microsoft Security Essentials, должны убедиться, что их движок обновлен до версии 1.1.13704.0. Более старые версии содержат критическую уязвимость, которую злоумышленники могут легко использовать для получения полного контроля над компьютерами.