Предупреждение об использовании CVE-2013-5065 ITW поступило от Microsoft
Несколько дней назад стал известен факт, что мошенники пользуются брешью в безопасности CVE-2013–5065 в ОС Win XP и Server 2003 для того, чтобы увеличить собственные системные полномочия и проводить масштабные направленные атаки. Данная уязвимость не имеет отношения к категории RCE. Она применяется исключительно для того, чтобы обойти ограничения пользовательского режима и исполнять код в пределах адресного пространства системы. Недостаток драйвера NDProxy.sys позволяет мошенникам запускать собственные коды в режиме ядра. Непосредственно шелл-код, занимающийся выполнением операций незащищенного варианта NDProxy, доставляется при помощи инфицированного документа в формате PDF, после чего начинает использоваться в комбинации с уязвимостью CVE-2013–3346 программы Acrobat Adobe Reader, позволяющей исполнять произвольные коды. Программисты компании Adobe, однако, смогли нейтрализовать уязвимость еще в августе текущего года, выпустив бюллетень под индексом APSB13–15, а потому пользователи, которые уже обновили программу, могут не беспокоиться за свой компьютер. Если вы до сих пор пользуетесь небезопасной версией операционной системы, то пройдите процедуру обновления, а также чаще обновляйте продукцию фирмы Adobe. Антивирусы от компании ESET фиксируют эксплойт под видом PDF/Exploit.CVE-2013–5065.A.
