Спустя почти месяц после того, как инженеры Google опубликовали детали о
новой уязвимости в ОС Windows XP, кибер-преступники начали активно
эксплуатировать этот баг. В Microsoft заявили в минувшую среду, что
зарегистрировали более 10 000 атак, эксплуатирующих указанный баг.
"Вначале мы видели, как исследовательские компании с концептуальной
точки зрения изучают опасность. Однако 15 июня было зафиксировано
появление первого публичного эксплоита", - говорится в сообщении
Microsoft. "Вначале распространение эксплоита было довольно
ограниченным, но с прошлой недели количество атак резко возросло".
Согласно данным Microsoft, атаки запускаются с вредоносных сайтов,
расположенных на территории США, России, Германии, Португалии и
Бразилии. "Особенно высока концентрация инфицированных сайтов в
Португалии и России", - говорят в Microsoft.
Одновременно с отчетом Microsoft, данные, подтверждающие резкий рост
числа атак, опубликовала и компания Symantec. По данным этой компании,
резкий рост атак был отмечен 21 и 26 июня. В Symantec говорят, что
злоумышленники используют данный эксплоит для распространения различных
вирусов и троянов, а также программного обеспечения Obitel, загружающего
на ПК пользователя массу других вредоносных кодов.
Согласно обнародованным данным, уязвимость затрагивает функцию Windows
Help and Support Center в операционных системах Windows XP и Windows
Server 2003. Прочие версии Windows данному багу не подвержены.
В сообщении Microsoft Security Research and Defence говорится, что
запуск Help and Support Center через ссылку hcp:// в большинстве случаев
не представляет опасности и может рассматриваться как один из вариантов
для запуска системы помощи, однако инженер по безопасности Google
обнаружил наличие кросс-скриптинговой уязвимости и механизма,
сопровождающего ее, позволяющего использовать эту функциональность для
создания запроса к файлам, хранящимся на ПК. Так, находясь на сайте, где
будет размещена ссылка вида hcp:// со специальным эксплоитом, хакер
может посредством файла helpctr.exe запустить один из файлов на
компьютере.
Кроме того, отмечается, что данная атака - это лишь часть системы взлома
и прежде чем запустить вредоносный файл через интерпретатор
helpctr.exe, этот файл нужно разместить на компьютере. Независимые
эксперты по безопасности говорят, что в целом протокол hcp можно
рассматривать как довольно надежный и уязвимости здесь обнаруживаются
реже, чем в других продуктах корпорации.
В корпорации говорят, что пока работают над исправлением данной
уязвимости и в качестве временной меры предлагают заблокировать работу
hcp через реестр системы.