Эксперты сразу нескольких компаний сообщили, что арсенал набора эксплоитов Neutrino пополнился уязвимостью CVE-2016-0189, которая в мае 2016 года была исправлена в браузере Internet Explorer. Дело в том, что исследователь из компании Theori, который обнаружил баг, не только описал все подробности об уязвимости в своем блоге, но и опубликовал на GitHub работающий эксплоит.
Напомню, что в мае сообщалось, что эксплуатация CVE-2016-0189 связана с нарушением целостности памяти. Данная брешь фигурировала сразу в двух бюллетенях безопансости: MS16-053 и MS16-051. Дело в том, что баг может использоваться как через браузеры Internet Explorer 9, 10 и 11 (а также Interne Explorer 11, работающий в Windows 10), так и через движки JScript (5.8 и 5.7) и VBScript (5.8).
Специалисты компании Symantec писали, что эта 0-day уязвимость уже используется для фактических атак. Неизвестные злоумышленники рассылали узконаправленные фишинговые сообщения южнокорейским организациям и использовали новую брешь.
В середине июня исследователь из компании Theori, исходно обнаруживший проблему, опубликовал подробный анализ выпущенного Microsoft патча, а также рассказал об уязвимости более детально. Хотя это нормальная практика среди специалистов по информационной безопасности, исследователь пошел чуть дальше обычного и в качестве иллюстрации своих изысканий обнародовал на GitHub работающий эксплоит для уязвимости.
После этого авторам эксплоит кита Neutrino осталось лишь скопировать код эксплоита и добавить его к арсеналу своего «продукта».
Специалисты компаний Kaffeine, Qihoo 360 и FireEye уже заметили, что новый эксплоит используется на практике. По данным FireEye, пока злоумышленники используют CVE-2016-0189 против пользователей Windows 10, однако не исключено, что «злоумышленники могут применить атаку и против более ранних версий Windows». По данным специалистов, код, который теперь использует Neutrino, абсолютно идентичен исходникам, опубликованным на GitHub.
Злоумышленники часто «заимствуют» чужие опенсорсные решения прямо с GitHub. К примеру, исследователь, создавший в эксперементальных целых шифровальщики Hidden Tear и EDA2 и опубликовавший их исходные коды на GitHub, породил волну подражателей, а потом и вовсе подвергся шантажу со стороны хакеров. Более недавний пример: вымогатель cuteRansomware, который базируется на исходниках опенсорсного проекта my-Little-Ransomware.
