07/03/19
Киберпреступная группировка из Сербии активно использует уязвимость (CVE-2017-11882) в редакторе формул Microsoft Equation для обхода песочниц и антивирусов. В прошедшие месяцы специалисты команды Mimecast Research Labs заметили несколько вариантов вредоносного кода, эксплуатирующего вышеозначенную уязвимость совместно с другим, еще неисправленным багом в MS Word.
Напомним, CVE-2017-11882 , позволяющая удаленно выполнить код, затрагивает пакеты Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016. Проблема была исправлена Microsoft в ноябре 2017 года. По словам специалистов, баг «может быть проэксплуатирован для внедрения любой полезной нагрузки в OLE файл и может использоваться совместно практически c любой уязвимостью в MS Word».
Новая уязвимость (пока не получила идентификатор CVE) связана с тем, как Word обрабатывает ошибки целочисленного переполнения в формате OLE. Исследователи сообщили Microsoft об уязвимости в минувшем году, а также предоставили PoC-эксплоит, однако в компании отказались выпускать патч, мотивировав решение тем, что баг не ведет к повреждению памяти или удаленному выполнению кода и потому не требует исправления.
Как пишут специалисты, проэксплуатировав вышеописанную уязвимость, атакующие могут применить эксплоит для CVE-2017-11882, получить права администратора и внедрить любое вредоносное ПО. В случае с сербской хакерской группировкой это был новый вариант бэкдора JACKSBOT, позволяющий получить полный контроль над скомпрометированной системой.
