14.10.2014 |
Bezpečnostní experti z iSight Partners objevili zranitelnost nultého dne, jež oslabuje desktopová a serverová Windows od Vist a Server 2008 výše. Při tom také zjistili, že je tato zranitelnost aktivně zneužívána ke kyberšpionáži proti NATO a vládním úřadům Ukrajiny a Polska. Útočníci podle všeho sídlí v Rusku. iSight Partners je pracovně označují Sandworm Team, podle odkazů na Dunu Franka Herberta nalezených v kódu útočných nástrojů.
Veškeré informace podává zpráva iSight Partners: Zranitelnost je přítomna v OLE package manageru Microsoft Windows a Server. Její zneužití umožňuje vzdálené spuštění kódu. Je založena na tom, že Windows umožňuje OLE packageru stáhnout a spustit INF soubory. Nejčastěji jsou pro útok použity prezentace PowerPointu s odkazem na externí soubory. Útočník potřebuje pouze speciálně upravené soubory a metody sociálního inženýrství, aby cílovou oběť přesvědčil k jejich otevření.
Kyberšpionáž běží již od roku 2009 a její aktéři jsou napojeni na ruskou vládu. iSights je objevili již v roce 2013, když pomocí spear-phishing zaútočili na ukrajinskou vládu v době summitu NATO ve Walesu. Microsoft chce slabinu záplatovat co nejdříve – konkrétně v rámci security bulletin MS14-060 na Patch Tuesday aktuálního měsíce prostřednictvím automatické aktualizace.
Zdroje: iSight Partners, The Hacker News