На прошлой неделе Microsoft исправила уязвимость нулевого дня в Microsoft Office (CVE-2017-0199), в течение нескольких месяцев эксплуатируемую хакерами. Как ранее сообщал SecurityLab, с помощью фишинговых писем различные группы злоумышленников инфицировали уязвимые системы шпионским ПО FinFisher и банковским трояном Latentbot.
Проблема была обнаружена сразу несколькими независимыми друг от друга исследователями. С выходом исправлений Microsoft отметила троих экспертов плюс свои собственные команды. Такое случается довольно редко, так как согласно недавнему исследованию стратегического исследовательского центра RAND, уязвимости нулевого дня редко обнаруживаются несколькими группами лиц.
Еще реже одна и та же неизвестная производителю уязвимость оказывается в руках и у киберпреступников, и у спецслужб. Ели эксплоит используется правоохранителями, правительство прилагает большие усилия, чтобы он не попал к хакерам, способным «завалить» важные операции. Каким образом CVE-2017-0199 эксплуатировалась и теми и другими, остается загадкой.
Исследователь безопасности Райан Хэнсон (Ryan Hanson) обнаружил уязвимость в июле прошлого года и сообщил о ней Microsoft в октябре, однако по какой-то причине компания исправила ее только сейчас. К примеру, остальные проблемы, обнаруженные экспертами Google Project Zero, исправлялись в течение 90 дней.
Согласно заявлению производителя, ему было известно о «небольшом числе» целевых атак с использованием данной уязвимости, имевших место один месяц назад. Согласно Microsoft, до раскрытия уязвимости исследователями McAfee на прошлой неделе, проблема эксплуатировалась редко. Компании потребовалось время на проведение расследования и подготовку исправления. В частности, Microsoft пыталась обнаружить подобные эксплоиты и выпустить патч, исправляющий не только известную угрозу.
Кто является разработчиком эксплоита для распространения FinFisher и Latentbot, неизвестно. Вероятно, им является одно и то же лицо, продавшее свой продукт и правительству, и киберпреступникам. Microsoft могла не исправить уязвимость сразу, поскольку изначально недооценила угрозу. В октябре прошлого года у компании не было свидетельств ее эксплуатации, поэтому выпуск патча не был первым на повестке дня.
Источник: securitylab.ru
