Уязвимость CVE-2018-8174 в Windows-движке VBScript уже взята на вооружение операторами RIG и Magnitude.
Получив уведомление об уязвимости в Windows-движке VBScript, уже замеченной в атаках, Microsoft поспешила выпустить патч. Спустя две недели ИБ-исследователь Kaffeine обнаружил, что эта брешь взята на вооружение операторами RIG; еще через неделю ее начал использовать другой эксплойт-пак — Magnitude.
Согласно бюллетеню Microsoft, уязвимость CVE-2018-8174 в VBScript позволяет через порчу памяти выполнить произвольный код в контексте текущего пользователя. Использовать ее можно, заманив пользователя Internet Explorer на сайт с эксплойтом или убедив его открыть присланный в письме вредоносный документ Microsoft Office.
О первых (целевых) атаках через эту брешь, непосредственно затрагивающую IE, стало известно 20 апреля, заплатку для нее Microsoft включила в майский набор обновлений.
Позднее технику эксплойта подробно рассмотрели эксперты “Лаборатории Касперского”, а также другие специалисты. На GitHub появился PoC-код, затем был создан соответствующий модуль Metasploit.
К сожалению, подобные публикации облегчают жизнь не только исследователям, но и злоумышленникам, поэтому расширение арсенала эксплойт-паков за счет CVE-2018-8174 было вполне ожидаемым. Стоит отметить, что атаки с участием таких инструментов носят массовый характер, и отсутствие патчей на местах способствует их успеху.
По свидетельству Kaffeine, эксплойт для IE не обновлялся в RIG больше года. В настоящее время новое приобретение используется для доставки вредоносного загрузчика Smoke Loader.
Активность Magnitude, связанная с CVE-2018-8174, была впервые зафиксирована 2 июня. По данным Kaffeine, новый эксплойт в составе этого набора используется для распространения вымогателя Magniber.
В конце мая вышло также соответствующее обновление для ThreadKit — недавно появившегося на черном рынке компоновщика вредоносных документов Microsoft Office. Практика показала, что его автор исправно отслеживает и осваивает новые эксплойты. Этим инструментом активно пользуется криминальная группа Cobalt, атакующая финансистов, так что в скором времени можно ожидать целевые атаки в этой сфере на основе эксплойта CVE-2018-8174.