Microsoft выпустила обновление, закрывающее 0-day уязвимость, которая используется для распространения бэкдора Pirpi

Microsoft выпустила экстренное (Out of Band) обновление безопасности MS14-021, связанное с недавно выявленными инцидентами с Internet Explorer с использованием 0-day эксплойта известной группой профессиональных злоумышленников. Наши поздравления крупному вендору с такой скоростью реакции на инцидент!

История такая. В 20-х числах апреля злоумышленники, известные своими рассылками умело сфабрикованных электронных писем на адреса критически важных инфраструктур, предприняли попытку перенаправить браузеры пользователей на сайты, содержащие 0-day эксплойт для IE. Цель атакующих — доставить новейшую версию «старенького» бэкдора Pirpi RAT на взломанные системы жертв, установить контроль над браузерами жертв и далее – над их системами и сетями.

0-day эксплойт использовал уязвимость в Internet Explorer (CVE-2014-1776), которая связана сиспользованием памяти после освобождения. Это ошибка в коде mshtml.dll, mshtml.tlb, Microsoft-windows-ie-htmlrendering.ptxml и Wow64_microsoft-windows-ie-htmlrendering.ptxml, исполняемых в IE на всех операционных системах Windows. Эксплойты атаковали этот код в IE с 9-й по 11-ую версию.

Ранее аналитики сообщали, что уязвимым был код vgx.dll, но оказалось, что это не так. На днях инженеры MSRC пояснили: «Мы хотим сообщить, что VGX.DLL не содержит уязвимый код, который использует этот эксплойт». Просто удаление регистрации этой библиотеки было самым быстрым способом отключить уязвимую функциональность в браузере. Тем из вас, которые удалили регистрацию vgx.dll и при этом хотели бы применить обновление, все же придется зарегистрировать dll: «Если вы использовали решение с удалением регистрации VGX.DLL, вам не нужно возвращать систему в исходное состояние, прежде чем установить данное обновление безопасности. Но учитывайте, что обновление безопасности не производит перерегистрацию vgx.dll. Инструкцию по перерегистрации vgx.dll читайте в разделе «Временные решения для уязвимостей».

Сам по себе патч довольно большой — к примеру, для IE 11 под Windows 7 x64 он весит около 16МБ. Размер mshtml.dll в некоторых версиях превышает 20МБ, а в отдельных случаях может оказаться и больше. Я еще не встречался с необходимостью перезагрузки после установки патча. Были также выпущены исправления для версий Internet Explorer c 6 по 8 для пользователей Windows XP SP3 и x64 SP2.

Теперь, когда патч появился, очень важно, чтобы все обновились. Уязвимость затрагивает практически все версии Internet Explorer на большинстве версий Windows OS (система Windows Update сама определит, какая у вас версия). Раньше атаки с использованием этой уязвимости проводились в довольно ограниченных объемах. Microsoft в своей недавней публикации заявляла следующее: «В действительности на этой уязвимости основывалось очень маленькое количество атак, и проблема, с ней связанная, была, мягко говоря, раздута. К сожалению, в наше время часто делают из мухи слона, но это не значит, что мы несерьезно воспринимаем такие отчеты. Наоборот, мы воспринимаем их абсолютно серьезно». В общем, я согласен. Антивирусные компании просто не отмечали широкого применения уязвимости, и у нас не было случая, когда она была бы использована против систем наших клиентов. Однако код эксплойта ItW был расширен по сравнению с оригиналом, атаковавшим только IE с 9-й по 11-ю версию, в него была добавлена поддержка Internet Explorer 8 под Windows XP, хотя объем атак тоже был невелик.

Однако теперь, когда обновление и код проанализированы, угроза может начать широко использоваться в сетях киберпреступников. Если вы пользуетесь Windows, запустите Windows Update — с благодарностью Microsoft за быструю доставку пачта своей огромной пользовательской базе.

Обратите внимание, что 0-day уязвимость в Adobe Flash, о которой в Adobe сообщили мы и о которой уже писали ранее, не относится к этому инциденту с IE. Данная 0-day уязвимость была использована только в атаках типа watering hole на сирийских веб-сайтах.

Flash-компоненты, используемые в 0-day атаках на Internet Explorer, были «вспомогательными» элементами для обхода защитных технологий, встроенных в новейшие версии IE и ПО Windows. Разумеется, необходимо обновить и Flash, и Internet Explorer.