Киберқылмыскерлер вирусқа қарсы бағдарламаны айналып өту үшін Microsoft Equation-дегі қателікті қолданады

Сербияның киберқылмыстық тобы Microsoft Equation формуласының редакторында арнайы бөлінген орта мен вирусқа қарсы бағдарламаларды айналып өту үшін (CVE-2017-11882) осалдығын белсенді пайдаланады. Өткен айларда Mimecast Research Labsкомандасының мамандары MS Word-та әлі түзетілмеген қателікпен бірге жоғарыда аталған осалдықты пайдаланатын зиянды кодтың бірнеше нұсқасын байқады.

Еске салсақ, CVE-2017-11882, қашықтағы кодты орындауға мүмкіндік беретін Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016 пакеттерін қозғайды. Жөнсіздік 2017 жылдың қарашасында Microsoft-пен түзетілді. Мамандардың айтуынша, қателік «OLE файлына кез келген пайдалы жүктемені енгізу үшін пайдаланылуы мүмкін және MS Word-та кез келген осалдықпен бірге қолданылуы мүмкін».

Жаңа осалдық (CVE идентификаторын әлі алған жоқ) бұл OLE пішімінде толық бүтінсанды толып кету қателерін Word өңдеуіне байланысты. Зерттеушілер Microsoft-ке осалдығы туралы өткен жылы хабарлады, сондай-ақ PoC-эксплоит ұсынды, алайда компанияда патч шығарудан бас тартты, қателік жадтын зақымдалуына немемсе кодты қашықтан орындауға әкеп соқпайды, сондықтан түзетуді талап етпейтінін дәлелдеді.

Мамандардың жазуынша, жоғарыда сипатталған осалдықты пайдаланып, шабуыл жасаушылар CVE-2017-11882 үшін эксплоитты қолдана алады, әкімші құқығын алады және кез келген зиянды БҚ енгізе алады. Сербтік хакерлік топтасу жағдайында ол жария етілген жүйеге толық бақылау жасауға мүмкіндік беретін, JACKSBOT бэкдорының жаңа нұсқасы болды.

Ақпарат көзі: itsec.ru