Microsoft предупреждает пользователей о новой уязвимости в Word

Корпорация Microsoft накануне выпустила очередное оповещение об опасности, связанной с возможностью хакерской атаки на программное обеспечение Microsoft Word. Новая уязвимость в популярном текстовом процессоре связана с особенностями обработки файлов в стандартном формате .doc.

На сегодняшний день наличие уязвимости подтверждено в Word 2002 Service Pack 3. Атакующий при помощи специально сгенерированного документа может вызвать переполнение памяти и последующую системную ошибку, оставляющую систему беззащитной перед хакером. В итоге злоумышленник может выполнить произвольный код в системе.

На сайте TechNet специалисты корпорации рекомендуют не только пользоваться антивирусами и фаерволлами, но и избегать открытия doc-файлов, присланных неизвестными отправителями по электронной почте.

В Microsoft говорят, что сейчас выход патча запланирован на 12 августа, однако если будет зафиксирована широкая эксплуатация данной уязвимости, то патч будет выпущен ранее.

Более подробные сведения об уязвимости изложены на странице http://www.microsoft.com/technet/security/advisory/953635.mspx

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft рассказала, как атаковавшим SolarWinds удалось скрыть операции

Специалисты продолжают публиковать новую информацию о методах крайне подготовленных киберпреступников, скомпрометировавших цепочку поставок SolarWinds. На этот раз исследователи из Microsoft рассказали об уловках группировки, позволивших им ускользнуть от обнаружения и оставаться незамеченными на протяжении долгого времени.

В декабре Microsoft и FireEye обнаружили бэкдор, который использовался  в атаке на SolarWinds. Он получил имя Sunburst (или Solorigate). Чуть позже эксперты Crowdstrike доложили о ещё нескольких вредоносах: Sunspot, Teardrop.

«Есть одна упущенная деталь в сложной цепочке атак — передача процесса от бэкдора Solorigate к загрузчику Cobalt Strike», — гласит новый пост Microsoft. — «Как показало наше расследование, атакующие убедились в том, что эти два компонента максимально разделены. Так они хотели уйти от детектирования».

Специалисты также считают, что киберпреступная группировка начала деятельность в мае 2020 года и при этом «потратила месяц на выбор жертвы и подготовку вредоносных семплов и инфраструктуры командных центров (C2)».

В Microsoft подчеркнули, что злоумышленники уделили особое внимание скрытности — каждая деталь учитывалась и обдумывалась с целью избежать обнаружения своего присутствия в системах жертв. Именно по этой причине атакующие максимально разделили выполнение загрузчика Cobalt Strike и процесс SolarWinds.

«Расчёт киберпреступников был следующим: даже если бы они потеряли имплант Cobalt Strike из-за детектирования, бэкдор SolarWinds всё равно остался бы в тени», — продолжает Microsoft.

Эксперты добавили, что каждый образец библиотеки Cobalt Strike был уникальным, злоумышленники старались всеми силами избегать повторного использования имени файла или директории. Этого же принципа атакующие строго придерживались в отношении имён функций, HTTP-запросов, C2-доменов, временных меток, метаданных файлов и т. п.

Бинарники преступники переименовывали и пытались замаскировать под уже установленные в системе программы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru