В очередном пакете обновлений для Windows компания Microsoft закрыла уязвимость нулевого дня, которая ранее была обнаружена "Лабораторией Касперского". По сообщению обнаруживших уязвимость экспертов, преступники уже попытались ее использовать в реальных атаках.

Проблема, которая актуальна для Windows 7, Windows Server 2008 и Windows Server 2008 R2, содержится в драйвере режима ядра win32k.sys. Как объясняют эксперты, злоумышленники могут создать состояние гонки (race condition), манипулируя обменом сообщениями между двумя взаимосвязанными потоками. В результате взломщик получает привилегии, достаточные для закрепления в системе.

Уязвимость получила идентификатор CVE‑2018‑8589. Обнаружить ее удалось благодаря собственным технологиям "Лаборатории Касперского" в области поведенческого анализа. В октябре эти системы зафиксировали подозрительную активность в Ближневосточном регионе. Киберпреступники применили эксплойт, чтобы повысить привилегии в системе своей жертвы и установить вредоносное ПО.

Эксперты "Лаборатории Касперского" передали информацию разработчикам Microsoft 17 октября. Тем понадобилось около четырех недель для подготовки и публикации патча. За это время специалисты зарегистрировали еще несколько случаев применения уязвимости, однако они отмечают, что число таких случаев осталось незначительным. Все жертвы находятся на Ближнем Востоке и работают в 32-битной версии ОС.