Dwie luki zero-day w Windows 10. Jedna dotyczyła Internet Explorer
Eksperci z firmy Kaspersky wykryli dwie luki zero-day w systemie Windows 10 oraz przeglądarce Internet Explorer 11. Dzięki systemowi automatycznego wykrywania cyberataków, udało się udaremnić cyberatak na południowokoreańską firmę.
12.08.2020 | aktual.: 12.08.2020 16:42
Wiosną 2020 r. automatyczne technologie wykrywania firmy Kaspersky udaremniły cyberatak. Późniejsza analiza pozwoliła wykazała, że w ataku wykorzystano nieznany wcześniej łańcuch dwóch exploitów wykorzystujących luki zero-day. Pierwsza z podatności znajdowała się w przeglądarce Internet Explorer 11 i umożliwiała zdalne wykonanie kodu.
Druga z nich obejmowała problem w zabezpieczeniach systemu Windows 10 i pozwalała na zwiększenie uprawnień szkodliwego programu. Z jej wykorzystaniem można było przejąć kontrolę nad systemem nawet w najnowszej wersji. Tym razem cyberprzestępcy zdołali wykryć lukę zanim została ona załatana i dla ekspertów ds. cyberbezpieczeństwa to najgorszy z możliwych scenariuszy.
Kaspersky: za atak prawdopodobnie odpowiada grupa cyberprzestępców "DarkHotel"
Zespół z Kaspersky przeanalizował scenariusz przeprowadzonego ataku. Luka CVE-2020-1380 (opisywana również wczoraj) znaleziona w przeglądarce Internet Explorer należała do kategorii Use-After-Free. Oznacza to, że umożliwia pełne wykonanie kodu. Jednakże ze względu na niewielkie uprawnienia IE 11, cyberprzestępcy musieli szperać dalej. Wykryli lukę związaną z błędem w obsłudze usługi drukarki, która z kolei umożliwiła uruchomienie dowolnego kodu w systemie Windows 10. Nadano jej oznaczenie CVE-2020-0986.
"Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu" – mówi Borys Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – dodaje Borys Larin.
Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cyberprzestępcom z DarkHotel. Jedyną poszlaką są nieznaczne podobieństwa między nowym exploitem, a wcześniejszymi, za które odpowiedzialna była ta grupa.