Разработчики набора эксплоитов Neutrino добавили в свой арсенал недавно исправленную уязвимость в Internet Explorer. Усовершенствование Neutrino было осуществлено сразу же после того, как исследователи опубликовали для нее PoC-эксплоит.
Выпушенный Microsoft в мае текущего года бюллетень безопасности устранял две уязвимости, позволяющие удаленное выполнение кода. Ошибки затрагивали механизмы выполнения сценариев JScript и VBScript, использующихся в Windows. Уязвимости CVE-2016-0187 и CVE-2016-0189 могут быть проэксплуатированы через браузер Internet Explorer.
ИБ-исследователи из Symantec сообщили, что CVE-2016-0189 эксплуатировалась злоумышленниками в атаках на пользователей из Южной Кореи до выхода обновлений. Вероятнее всего, для доставки эксплоита атакующие использовали скомпрометированные сайты и фишинговые письма.
22 июня текущего года команда исследователей Theori из Остина проанализировала патч от Microsoft и выпустила PoC-эксплоит для уязвимости CVE-2016-0189. PoC-эксплоит был успешно протестирован с помощью Internet Explorer 11 для Windows 10. Согласно FireEye, создатели набора эксплоитов Neutrino использовали PoC-эксплоит от Theori и адаптировали его под свой продукт.
Злоумышленники используют файл Adobe Flash для доставки эксплоитов. В атаках с применением Neutrino эксплуатируются три уязвимости в Flash Player (CVE-2016-1019,CVE-2016-4117 и CVE-2015-8651) и две в Internet Explorer (CVE-2014-6332 и CVE-2016-0189). В то время как PoC-эксплоит был протестирован на Windows 10, по мнению экспертов, злоумышленники могут адаптировать его для более ранних версий операционной системы. (Microsoft/NovostIT)