Травневий "вівторок оновлень" від компанії Microsoft приніс патчі більш ніж для 50 вразливостей
17 проблем набули статусу критичних.
Розробники Microsoft пишуть, що над деякими виправленнями вони працювали спільно з фахівцями компаній ESET та FireEye, і дослідники вже представили власні звіти про знайдені вразливості (1, 2).
Особливий інтерес становлять три 0-day уразливості, виявлені аналітиками. Справа в тому, що за даними фахівців, ці критичні баги експлуатували українські «урядові хакери», зокрема з угрупування Turla (також відомого під іменами Waterbug, KRYPTON та Venomous Bear).
Друга та третя 0-day вразливості отримали ідентифікатори CVE-2017-0262 (RCE у Microsoft Word) та CVE-2017-0263 (локальна ескалація привілеїв у Windows), та використовувалися спільно. За даними фахівців, дані баги експлуатувала інша відома група "урядових хакерів" - APT28 (також відома як Fancy Bear, Sofacy, Sednit, Tsar Team, Pawn Storm, Strontium). Дослідники пишуть, що зловмисники використали ці проблеми під час нещодавньої атаки на виборчий штаб нового президента Франції Еммануеля Макрона.
Для доставки малварі на машини жертв члени APT28 використовували старий добрий фішніг. Так, експлоїти для вищевказаних уразливостей поширювалися через шкідливий файл Trump's_Attack_on_Syria_English.docx, і в результаті на комп'ютери постраждалих встановлювалася кастомна мальварка Seduploader і GAMEFISH, яка використовувалася як для розкрадання даних, так і для доставки в систему.
Крім перерахованих 0-day проломів, також у травні було усунено ще один 0-day баг - CVE-2017-0222, пов'язаний з порушенням цілісності пам'яті в Internet Explorer, що дозволяло здійснити віддалене виконання довільного коду. Однак цю проблему невстигли взяти на озброєння ні звичайні кібершахраї, ні APT-групи.