Microsoft устранила 0-day брешь, используемую группой FruityArmor

Олег Иванов 10 Октября 2018 - 14:05

Домашние пользователи

...

Октябрьские патчи от Microsoft устраняют 0-day уязвимость, которая использовалась в реальных атаках кибершпионской группы, известной под именем FruityArmor. Эксперты предполагают, что FruityArmor спонсируется государством, группа действует с 2016 года, это уже третья брешь нулевого дня, которую эксплуатируют злоумышленники.

Первой проблемой безопасности, с помощью которой FruityArmor атаковала свои цели, была брешь, получившая идентификатор CVE-2016-3393. Она затрагивала компонент GDI (Graphics Device Interface, Graphical Device Interface). Далее преступники сместили фокус на эксплуатацию бага в Adobe Flash Player (CVE-2018-5002).

На этот раз группа злоумышленников использует уязвимость под идентификатором CVE-2018-8453, именно ее Microsoft устранила с выходом октябрьских патчей. Брешь затрагивает компонент системы Windows — Win32k.

Первыми об эксплуатации данного бага сообщили специалисты антивирусной компании «Лаборатория Касперского». К счастью, данная уязвимость не настолько серьезна, как предыдущие две, которые позволяли удаленно выполнить произвольный код.

Последняя брешь позволяет лишь повысить привилегии. Это значит, что киберпреступники FruityArmor должны сначала заразить систему другим способом, после чего только использовать брешь в Win32k для эскалации привилегий.

«Атакующий затем сможет устанавливать программы, удалять или изменять данные, создавать новые учетные записи с полными правами пользователя», — пишет Microsoft в своих пояснениях.

Всего Microsoft в октябре исправила 49 уязвимостей в Windows, Edge, Internet Explorer, Office, Exchange Server и .NET Core. 18 из этих проблем получили статус критических.

Однако с этим набором патчей все оказалось не так очевидно — некоторые пользователи столкнулись с интересным поведением — обновление удалило массу важных файлов, включая фото и музыку. Сообщения с жалобами появились на площадках Reddit, Twitter и форуме сообщества Microsoft.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 25 Июля 2025 - 14:11

Целевые атаки Таргетированные атаки Корпорации Государство Информзащита

Атаки на SCADA-системы выросли на 27% — чаще всего страдает энергетика

Атаки на промышленные системы управления в России продолжают набирать обороты. По данным исследования «Информзащиты», в первом полугодии 2025 года количество кибератак на SCADA-системы увеличилось на 27% по сравнению с тем же периодом 2024-го.

Причины всё те же: активная цифровизация производств, подключение устаревшего оборудования к внешним сетям и слабая защита таких систем.

SCADA используется для управления крупными и разбросанными объектами — вроде электросетей или трубопроводов. Устройства вроде ПЛК и удалённых терминалов, через которые система получает данные, часто выходят в интернет — и становятся уязвимыми для атак.

«Сегодня подключение к интернету и сетям подрядчиков или техподдержки стало обычной практикой. Но вот защищены такие подключения далеко не всегда», — говорит Игорь Рыжов, замдиректора Центра промышленной безопасности «Информзащиты».

Больше всего атак зафиксировано в энергетике (38% от общего числа), на предприятиях машиностроения (21%), в химической и нефтехимической отраслях (17%) и в пищевой промышленности (11%).

Что самое тревожное — успешная атака на SCADA может привести не просто к сбоям, а к серьёзным последствиям: от остановки конвейера до выхода из строя оборудования, утечек опасных веществ, рисков для жизни персонала и даже экологических катастроф. Бывают и внутренние инциденты — когда вред наносят свои же сотрудники, намеренно или по неосторожности.

«В отличие от ИТ-систем, где максимум — потеря данных, здесь последствия могут быть физическими: аварии, взрывы, отравления. Это уже совсем другой уровень угроз», — подчёркивает Рыжов.

Чтобы снизить риски, «Информзащита» советует предприятиям:

внедрить многофакторную аутентификацию для доступа извне;
регулярно проверять систему на уязвимости;
следить за всеми изменениями в инфраструктуре;
обновить устаревшее оборудование;
обеспечить круглосуточный мониторинг и готовность реагировать на инциденты;
и, конечно, делать защищённые резервные копии критически важных компонентов — с обязательной проверкой их восстановления.

SCADA — это не просто система. Это сердце современного производства. А значит, защищать её нужно так же тщательно, как и само предприятие.