Получено ещё одно подтверждение тезиса, что на массовой аудитории отлично работают эксплоиты старых уязвимостей. Зачем напрягаться, если в интернете миллионы систем, которые не обновляются сразу после выхода патчей. Более того, они не обновляются и через месяц, и через год. Так что аудитория для ботнетов всегда найдётся. Ну, а самые свежие, горячие 0-day уязвимости приберегают для таргетированных атак.

Специалисты компании SophosLabs опубликовали доклад (PDF) о том, как злоумышленники до сих пор пытаются использовать уязвимость RTF Stack Buffer Overflow (CVE-2010-3333), для которой Microsoft выпустила патч MS10-087 ещё в ноябре 2010 года, то есть 15 месяцев назад!

Злоумышленникам очень нравится именно формат RTF, потому что многие малограмотные юзеры не ожидают опасности от простого текстового документа. Компания SophosLabs проанализировала, каким образом использовалась уязвимость RTF за два последних года.

Итак, первый эксплоит для RTF Stack Buffer Overflow был обнаружен в октябре 2010 года, а через несколько недель в ноябре Microsoft выпустила патч для Microsoft Office. С самого начала злоумышленники начали использовать спамерские рассылки для распространения заражённых RTF-файлов. Но самое интересное, что после выхода патча популярность таких спамерских рассылок вовсе не снижалась, а оставалась примерно на одном и том же уровне. Этот поразительный факт отображён на графике с декабря 2010-го по октябрь 2011 года.

На следующем графике показано количество образцов за указанный промежуток времени с нарастающим итогом.

Как сообщают исследователи, всего обнаружено две основные формы эксплоита. 78% образцов принадлежит к первой форме, которую связывают с фреймворком Metasploit.

Исследователи отмечают ещё один поразительный факт, что на протяжении всего 2011 года вредоносные RTF-файлы видоизменялись, то есть злоумышленники продолжали активно разрабатывать данную уязвимость, стараясь испробовать разные комбинации. А 9 ноября 2011 года в лабораторию поступил новый образец из Китая, который вообще не детектировался практически ни одним антивирусом, кроме программы Microsoft и Sophos.



Оставить мнение