Securitate IT: Microsoft repara 55 de defecte, 3 dintre care erau exploatate de spionii cibernetici rusi

Share This

Microsoft a descoperit vulnerabilitatile critice in Windows, Office, Edge, Internet Explorer si motorul sau de protectie impotriva malware-ului

Microsoft a lansat patch-uri de securitate marti pentru 55 de vulnerabilitati din cadrul produselor companiei, inclusiv pentru trei defecte care sunt deja exploatate in atacurile lansate de grupurile de ciberespionaj.

Cincisprezece dintre vulnerabilitatile reparate in pachetul Microsoft pentru luna mai sunt considerate critice si afecteaza Windows, Microsoft Office, Microsoft Edge, Internet Explorer si motorul de protectie malware utilizat in majoritatea produselor anti-malware ale companiei.

Administratorii de sistem ar trebui sa acorde prioritate pachetelor Microsoft Office, deoarece abordeaza doua vulnerabilitati pe care atacatorii le-au exploatat in atacurile directionate in ultimele doua luni. Ambele defecte, CVE-2017-0261 si CVE-2017-0262, rezulta din modul in care Microsoft Office se ocupa de fisiere de imagine Encapsulated PostScript (EPS) si poate conduce la executarea codului la distanta pe sistemul de baza.

Potrivit cercetatorilor de la FireEye, vulnerabilitatea CVE-2017-0261 a fost exploatata de la sfarsitul lunii martie de o banda ruseasca neidentificata de atacatori motivati financiar denumita Turla.

De asemenea, cunoscut sub numele de Snake sau Uroburos, grupul Turla a fost activ din anul 2007, cel putin, si a fost responsabil pentru unele dintre cele mai complexe atacuri de ciberspionaj pana in prezent. Tintele sale sunt de obicei entitati guvernamentale, agentii de informatii, ambasade, organizatii militare, institutii de cercetare si institutii academice si mari corporatii.

CPE-2017-0261 vine sub forma unor documente Word cu continut EPS periculos incorporat care poate fi distribuit prin e-mail. Atacurile au incercat, de asemenea, sa exploateze o vulnerabilitate de escaladare a privilegiilor Windows urmarita ca CVE-2017-0001 pe care Microsoft a reparat-o pe 14 martie.

Mai tarziu, in aprilie, cercetatorii de la FireEye si ESET au descoperit o alta campanie de ciberspionaj ce exploata a doua vulnerabilitate Microsoft Office legata de EPS care a fost reparata marti: CVE-2017-0262. Aceste atacuri au fost trasate inapoi la un grup ciberspionaj rus cunoscut in industria de securitate ca APT28, Fancy Bear sau Storm Storm.

APT28 este grupul acuzat de infiltrarea in Comitetul National Democrat din S.U.A. anul trecut in timpul alegerilor prezidentiale. Selectia tintelor grupului de-a lungul anilor a reflectat interesele geopolitice ale Rusiei care au determinat multi cercetatori sa creada ca APT28 este legat de Serviciul de Informatii Militare (GRU) al Rusiei.

Atacurile trecute APT28 au demonstrat ca grupul are acces la un arsenal impresionant de informatii – exploateaza vulnerabilitatile nedeclarate anterior. Exploatarile grupului pentru CVE-2017-0262 au fost inserate intr-un document momeala despre decizia presedintelui Donald Trump de a lansa un atac in Siria luna trecuta si a fost inlantuit cu exploatoarea unei alte vulnerabilitati de escaladare a privilegiilor Windows (CVE-2017-0263), ce a fost, de asemenea, reparata marti.

Chiar daca vulnerabilitatea CVE-2017-0262 EPS a fost tehnic reparata marti, utilizatorii care au instalat actualizarile Microsoft Office lansate in aprilie au fost protejati impotriva acesteia. Asta pentru ca aceste actualizari au dezactivat filtrul EPS din Office ca masura de aparare in profunzime, au declarat cercetatorii Microsoft marti intr-un post de blog.

Administratorii de sisteme ar trebui, de asemenea, sa acorde prioritate actualizarilor de securitate din aceasta luna pentru Internet Explorer si Edge, deoarece remediaza vulnerabilitatile critice care ar putea fi exploatate prin vizitarea site-urilor rau intentionate sau prin vizionarea de anunturi special create in cadrul browserelor. Unul dintre defectele IE reparate este deja exploatat de atacatori, in timp ce un patch-ul pentru Edge a fost dezvaluit public.

Actualizarile pentru Windows ar trebui sa urmeze pe lista de prioritati, deoarece abordeaza mai multe vulnerabilitati la executarea codurilor la distanta in protocolul de partajare a fisierelor de retea SMB. Aceste vulnerabilitati pun instalarile Windows desktop si server la risc de hacking daca utilizeaza SMBv1.

In cele din urma, utilizatorii produselor Microsoft anti-malware, inclusiv Windows Defender si Microsoft Security Essentials, ar trebui sa se asigure ca au actualizat la versiunea 1.1.13704.0. Versiunile mai vechi contin o vulnerabilitate extrem de critica, care poate fi usor exploatata de atacatori pentru a avea control complet asupra computerelor.