Microsoft закрывает эксплойты нулевого дня, используемые в наборе правительственного шпионажа

Microsoft сообщила, что ряд недавних исправлений безопасности был разработан, чтобы остановить два нулевого дня эксплойты, продаваемые как часть шпионского комплекта авторитарным правительствам и шпионским агентствам по всему миру.

Шпионский комплект, предположительно проданный израильской службой безопасности Кандиру, был использован для нападения на политики, журналисты, правозащитники, ученые, диссиденты и другие, не менее 100 жертвы. В то время как 100 - это сравнительно низкий показатель по сравнению с другими серьезными нарушениями безопасности или атаками, шпионский комплект представляет собой высокоразвитый инструмент, используемый для нацеливания на отдельных лиц.

Таким образом, жертвы этого набора и эксплойтов нулевого дня, вероятно, являются известными людьми с ценной информацией по потенциально сейсмическим темам.

Microsoft работает с Citizen Lab над устранением уязвимостей

Официальный Блог о безопасности Microsoft подтверждает обнаружение «злоумышленника из частного сектора», владеющего двумя эксплойтами нулевого дня Windows (CVE-2021-31979 а также CVE-2021-33771).

Microsoft назвала злоумышленника SOURGUM, отметив, что команда безопасности Microsoft считает, что это израильская компания частного сектора, продающая инструменты кибербезопасности правительственным учреждениям по всему миру. Сотрудничая с Citizen Lab, лабораторией сетевого наблюдения и защиты прав человека Университета Торонто, Microsoft считает, что используемый SOURGUM набор вредоносных программ и эксплойтов «нацелился на более 100 жертв по всему миру. Мир."

Связанный: Понимание вредоносного ПО: распространенные типы, о которых вам следует знать

Citizen Lab's в отчете об эксплойтах прямо упоминается Candiru, "секретная израильская компания, которая продает шпионское ПО исключительно «Шпионское ПО, разработанное Candiru, может заражать и контролировать iPhone, Android, Mac, ПК и облачные аккаунты».

Команда безопасности Microsoft наблюдала за жертвами в Палестине, Израиле, Иране, Ливане, Йемене, Испании, США. Королевство, Турция, Армения и Сингапур, со многими жертвами, действующими в чувствительных областях, ролях или организации. Среди зарегистрированных клиентов Candiru - Узбекистан, Саудовская Аравия и ОАЭ, Сингапур и Катар, а также другие зарегистрированные продажи в Европе, странах бывшего Советского Союза, Персидском заливе, Азии и Латинской Америке.

Патчи безопасности исключают эксплойты нулевого дня

Эксплойт нулевого дня - это ранее не раскрытая уязвимость системы безопасности, которую злоумышленник использует для взлома сайта, службы или иным образом. Поскольку охранные и технологические компании не знают о его существовании, он остается незащищенным и уязвимым.

При этом израильская компания, якобы стоящая за разработкой шпионского комплекта, использовала два нулевого дня. эксплойты для получения доступа к ранее защищенным продуктам, встроенные в уникальный вариант вредоносного ПО, получивший название DevilsTongue.

Хотя атаки такого рода вызывают беспокойство, они часто являются узконаправленными операциями, которые обычно не затрагивают обычных пользователей. Кроме того, Microsoft теперь исправила эксплойты нулевого дня, используемые вредоносным ПО DevilsTongue, сделав этот конкретный вариант бесполезным. Патчи были выпущены во вторник июля 2021 года, который был опубликован 6 июля.

Microsoft советует пользователям отключить буферизацию принтеров, чтобы защититься от уязвимостей нулевого дня

Нулевой день PrintNightmare активно эксплуатируется.

Читать далее

Об авторе

Разверните, чтобы прочитать всю историю