Хакеры активно эксплуатируют 0Day-уязвимость в Internet Explorer

Некая APT-группировка активно эксплуатирует уязвимость нулевого дня в коде ядра браузера Internet Explorer в масштабных кампаниях по распространению вредоносного ПО через документы Microsoft Office. Атаки зафиксировали эксперты команды Qihoo 360, о чем сообщили в своем микроблоге в соцсети Weibo.

Проблема, которую специалисты описывают как «double kill», затрагивает все последние версии Internet Explorer, а также приложения, использующие ядро IE. В своем сообщении команда не раскрыла полную цепочку эксплуатации или подробности о том, кто может стоять за данной вредоносной кампанией.

В рамках атаки злоумышленники распространяют документы MS Office со встроенной вредоносной web-страницей. После того, как жертва откроет вредоносный документ, на компьютер с удаленного сервера загружаются эксплоит и вредоносные модули. В ходе атаки используются известные методы обхода UAC (User Account Control, Контроль учетных записей), техника отражающей DLL-загрузки (Reflective DLL Loading), безфайловые атаки и стеганография.

Эксперты проинформировали Microsoft об атаках, однако компания пока ни подтвердила, ни опровергла находки специалистов. Сроки выхода патча, устраняющего уязвимость, неизвестны.

Ранее команда Google Project Zero сообщила о критической уязвимости в ряде операционных систем с включенным режимом UMCI, в частности в Windows 10 S. Уязвимость не может быть проэксплуатирована удаленно. С ее помощью злоумышленник может модифицировать записи реестра, но для этого на атакуемой системе уже должен быть запущен вредоносный код.