CVE-2012-0003 Эксплойт ITWv

Южнокорейские интернет-власти не торопятся закрывать ресурс с открыто распространяемым вредоносным кодом, эксплуатирующим уязвимость CVE-2012-0003, закрытую патчем Microsoft MS12-004, выпущенным в январе 2012 года. Как мы уже обсуждали, вредоносный код доступен с 21-го января, и похоже, что в последние дни атакам через этот сайт подверглось достаточно небольшое количество корейских пользователей. В данное время сайт по-прежнему действует.

Похоже, что сам эксплойт надежен и его легко воспроизвести, и мы ожидаем, что он будет включен в состав популярных наборов эксплойтов, распространяемых через интернет. Судя по обсуждениям создателей эксплойтов, очень скоро в Сети появится исходный код «концептуального» эксплойта, что приведет к дальнейшему распространению эксплойта в течение нескольких дней. До сих пор наши продукты распознавали исходный вариант кода с помощью generic-детекта, созданного несколько лет назад, однако сейчас ведется работа над созданием детекта, который позволит обнаруживать javascript и эксплойт как Exploit.x.CVE-2012-0003. Немногочисленные посетители вредоносного сайта получали код, предназначенный для установки руткита и набора шпионских программ. Похоже, что руткит-компоненты нацелены на аккаунты к онлайн-играм, созданным южнокорейскими производителями игр в последние полгода.

Эксплойт использует уязвимость в библиотеке winmm.dll Windows Media Player с помощью механизма heap spray, который, как это ни странно, работает на большинстве версий Windows вплоть до 64-битной Windows Server 2008 SP 2.

Пожалуйста, не забывайте устанавливать обновления системы.