14 октября 2014 года специалисты из FireEye Labs по исследованию кибер-угроз обнаружили две новые уязвимости нулевого дня, которые являются частью APT-атаки направленной против одной крупной корпорации. Обеим Zero-day эксплоитам были присвоены идентификаторы CVE-2014-4148 и CVE-2014-4113 которые относятся к уязвимостям описанным в октябрьском Security Bulletin. Об этом сообщает пресс-служба компании FireEye.

По последним данным, FireEye Labs обнаружила суммарно 16 атак нулевого дня за последние 2 года – 11 в 2013 и 5 в 2014 году.

Представители компании Microsoft прокомментировали вышеуказанную информацию так: «14 октября 2014 года, Microsoft выпустила обновление безопасности MS14-058 в котором уязвимость полностью устранена, что позволяет защитить клиентов. Мы ценим FireEye Labs за соблюдения соглашения о Скоординированном Оглашении Уязвимостей (Coordinated Vulnerability Disclosure), что помогает нам в их скорейшем устранении и защите клиентов».

В случае с CVE-2014-4148, атакующие использовали уязвимость в подсистеме обработки Microsoft Windows TrueType Font (TTF), используя документы MS Office для встраивания и доставки зараженного TTF в компанию жертву. Т.к. встроенный TTF обрабатывается в режиме kernel, успешная операция гарантировала атакующим доступ в режиме kernel. Это позволяло им устанавливать программы просматривать изменять или удалять данные, или создавать новые учетные записи с административными правами.

CVE-2014-4148 воздействовала на 32-bit и 64-bit операционные системы Windows, хотя атакам подверглись только 32-bit системы. Вредоносный код помещенный в эксплоит имел определенную функциональность направленную на следующие категории операционных систем:

* Windows 8.1/Windows Server 2012 R2

* Windows 8/Windows Server 2012

* Windows 7/Windows Server 2008 R2 (Service Pack 0 and 1)

* Windows XP Service Pack 3

CVE-2014-4113 делал уязвимыми OC Windows 7, Vista, XP, Windows 2000, Windows Server 2003/R2, and Windows Server 2008/R2 для Elevation of Privilege (EoP) атаки. Это означает что уязвимость не может быть использована самостоятельно для взлома защиты клиента. Атакующий сначала должен обрести доступ к удаленной системе, которая запущена на любой из перечисленных ОС перед тем как он сможет выполнить код в контексте Windows Kernel. Windows 8 и Windows Server 2012 и более поздние версии этих уязвимостей не имели.