В конце прошлой недели компания Symantec сообщила, что эксплоит для
непропатченной уязвимости в
DirectShow под Microsoft Windows XP и Server 2003 был добавлен в
многоцелевую хакерскую утилиту. В компании полагают, что в ближайшем времени это
увеличит число атак с его использованием.
Корпорация Microsoft еще не выпустила закрывающий эту дыру патч, поэтому
Windows 2000, XP и Server 2003 остаются уязвимыми. Более новые версии Windows (Windows
Vista, Server 2008 и еще не вышедшая Windows 7) уязвимости к данной атаке не
имеют.
Тем не менее, нападения на данный баг регистрируются с мая месяца, когда
компания Microsoft выпустила
руководство по безопасности, в котором подтвердила наличие "отдельных
активных атак". В отличие от прочих недавних уязвимостей "нулевого дня", атаки с
использованием дыры в DirectShow не направлены на кого-то конкретно и носят
довольно ограниченный характер.
Повышенное внимание экспертов к данной проблеме вызвано появлением связанной
с этой уязвимостью фишинговой атаки, использующей сайт, имитирующий страницу
авторизации Microsoft Windows Live. Данный ресурс скрытно переправляет
пользователей на другой сайт, атакующий баг в DirectShow при помощи вредоносного
avi-файла. На машину жертвы также загружаются многочисленные dll-файлы, которые,
в свою очередь, скачивают exe-файл, устанавливающий троянскую программу и
делающий компьютер пользователя участником растущего ботнета.
Несмотря на то, что патч еще не выпущен, Microsoft предлагает пользователям
отключить функцию разбора синтаксиса в QuickTime, предлагая для этого
соответствующую
автоматизированную утилиту. Выход же полноценной заплатки ожидается 14 июля,
во время очередного ежемесячного обновления.
