microsoftMicrosoft выпустила экстренное (Out of Band) обновление безопасности MS14-021, закрывающее 0-day уязвимость, которая используется для распространения бэкдора Pirpi. Связано это с тем, что недавно выявлены инциденты в Internet Explorer с использованием 0-day эксплойта известной группой профессиональных злоуышленников. В середине апреля злоумышленники, известные своими рассылками умело сфабрикованных электронных писем на адреса критически важных инфраструктур, предприняли попытку перенаправить браузеры пользователей на сайты, содержащие 0-day эксплойт для IE. Цель атакующих — доставить новейшую версию «старенького» бэкдора Pirpi RAT на взломанные системы, установить контроль над браузерами и далее – над их системами и сетями.
0-day эксплойт использовал уязвимость в Internet Explorer (CVE-2014-1776), которая связана с использованием памяти после освобождения. Это ошибка в коде mshtml.dll, mshtml.tlb, Microsoft-windows-ie-htmlrendering.ptxml и Wow64_microsoft-windows-ie-htmlrendering.ptxml, исполняемых в IE на всех операционных системах Windows. Эксплойты атаковали этот код в IE с 9-й по 11-ую версию. Ранее аналитики сообщали, что уязвимым был код vgx.dll, но оказалось, что это не так. На днях инженеры MSRC пояснили:

«Мы хотим сообщить, что VGX.DLL не содержит уязвимый код, который использует этот эксплойт». Просто удаление регистрации этой библиотеки было самым быстрым способом отключить уязвимую функциональность в браузере. Тем из вас, которые удалили регистрацию vgx.dll и при этом хотели бы применить обновление, все же придется зарегистрировать dll. «Если вы использовали решение с удалением регистрации VGX.DLL, вам не нужно возвращать систему в исходное состояние, прежде чем установить данное обновление безопасности. Но учитывайте, что обновление безопасности не производит перерегистрацию vgx.dll. Инструкцию по перерегистрации vgx.dll читайте в разделе «Временные решения для уязвимостей»

Сам по себе патч довольно большой — к примеру, для IE 11 под Windows 7 x64 он весит около 16МБ. Размер mshtml.dll в некоторых версиях превышает 20МБ, а в отдельных случаях может оказаться и больше. Были также выпущены исправления для версий Internet Explorer c 6 по 8 для пользователей Windows XP SP3 и x64 SP2. Теперь, когда патч появился, очень важно, чтобы все обновились.

Уязвимость затрагивает практически все версии Internet Explorer на большинстве версий Windows OS (система Windows Update сама определит, какая у вас версия). Раньше атаки с использованием этой уязвимости проводились в довольно ограниченных объемах. Microsoft в своей недавней публикации заявляла следующее:

«В действительности на этой уязвимости основывалось очень маленькое количество атак, и проблема, с ней связанная, была, мягко говоря, раздута. К сожалению, в наше время часто делают из мухи слона, но это не значит, что мы несерьезно воспринимаем такие отчеты. Наоборот, мы воспринимаем их абсолютно серьезно»

Антивирусные компании просто не отмечали широкого применения уязвимости. Однако код эксплойта ItW был расширен по сравнению с оригиналом, атаковавшим только IE с 9-й по 11-ю версию, в него была добавлена поддержка Internet Explorer 8 под Windows XP, хотя объем атак тоже был невелик. Теперь, когда обновление и код проанализированы, угроза может начать широко использоваться в сетях киберпреступников. Если вы пользуетесь Windows, запустите Windows Update.