В очередном пакете обновлений для Windows разработчики Microsoft закрыли уязвимость нулевого дня, которую ранее обнаружили эксперты «Лаборатории Касперского». По сообщению компании, преступники уже попытались использовать ее в реальных атаках. Проблема, которая актуальна для Windows 7, Windows Server 2008 и Windows Server 2008 R2, содержится в драйвере режима ядра win32k.sys. Как объясняют эксперты, злоумышленники могут создать состояние гонки (race condition), манипулируя обменом сообщениями между двумя взаимосвязанными потоками. В результате взломщик получает привилегии, достаточные для закрепления в системе. Уязвимость получила идентификатор CVE‑2018‑8589 . Обнаружить ее удалось благодаря собственным технологиям «Лаборатории Касперского» в области поведенческого анализа. В октябре эти системы зафиксировали подозрительную активность в Ближневосточном регионе. Преступники применили эксплойт, чтобы повысить привилегии в системе своей жертвы и установить зловредное ПО. Эксперты «Лаборатории Касперского» передали информацию разработчикам Microsoft 17 октября. Тем понадобилось около четырех недель для подготовки и публикации патча. За это время специалисты зарегистрировали еще несколько случаев применения уязвимости, однако их количество осталось незначительным. Все жертвы находятся на Ближнем Востоке и работают в 32-битной версии ОС. Ранее в октябре Microsoft устранила еще одну брешь нулевого дня, о которой компании сообщили специалисты «Лаборатории Касперского». Уязвимость, которая нашла активное применение в продвинутых хакерских атаках, позволяла выполнить произвольный код в режиме ядра.
