Спецслужбы США предупредили, что хакеры из Ирана применяют уязвимость, которая была обнаружена в Outlook – CVE-2017-11774.
Уязвимость является багом, который был исправлен Microsoftещё 2 года назад. Ошибка, которая была обнаружена SensePost, даёт возможность малварам покинуть песочницу Outlook и выполнять вредоносный код на уровне операционной системы.
В прошлом году эту проблему начали использовать иранские хакеры, которые установили бэкдоры на веб-серверах. Далее бэкдоры используются для доставки CVE-2017-11774 в e-mailпользователей.
Когда атакующие получают легитимные данные, они обнаруживают Outook Web Access, который не защищается средствами двухфакторной аутентификации.
Атаки с использованием CVE-2017-11774 проводились вместе с атаками Shamoon, который уничтожал данные пользователей. Но связь между двумя атаками не была доказана.
Образцы малваров, о которых сообщает Киберкомандование, относятся к Shamoom и атакам прошлых годов. Об этом сообщает эксперт Chronicle Security – Брэндон Левен. Три из пяти образцов являются инструментами манипулирования взломанными веб-серверами. Два других – это загрузчики, которые используют PowerShell с целью доставить PUPY RAT. Левен уверен, что связка малвара и уязвимости помогла злоумышленникам взламывать цели.
