По словам исследователя из компании Prevx Марко Джулиани (Marco Giuliani), ни один эксплоит пока не использует эту уязвимость. Однако так продлится очень не долго. По мнению Джулиани, очень скор” авторы вредоносных программ станут использовать и ее.
Непосредственно атаке подвергается RtlQueryRegistryValues API, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.
В настоящее время Microsoft уже исследует уязвимость, однако обновление для блокировки этой уязвимости еще не выпущено. Поэтому есть все основания полагать, что она будет использована вирусописателями для производства новых модификаций вирусов.
Комментарии (0)