Dwie luki zero-day w Windows 10. Jedna dotyczyła Internet Explorer
Eksperci z firmy Kaspersky wykryli dwie luki zero-day w systemie Windows 10 oraz przeglądarce Internet Explorer 11. Dzięki systemowi automatycznego wykrywania cyberataków, udało się udaremnić cyberatak na południowokoreańską firmę.
Wiosną 2020 r. automatyczne technologie wykrywania firmy Kaspersky udaremniły cyberatak. Późniejsza analiza pozwoliła wykazała, że w ataku wykorzystano nieznany wcześniej łańcuch dwóch exploitów wykorzystujących luki zero-day. Pierwsza z podatności znajdowała się w przeglądarce Internet Explorer 11 i umożliwiała zdalne wykonanie kodu.
Druga z nich obejmowała problem w zabezpieczeniach systemu Windows 10 i pozwalała na zwiększenie uprawnień szkodliwego programu. Z jej wykorzystaniem można było przejąć kontrolę nad systemem nawet w najnowszej wersji. Tym razem cyberprzestępcy zdołali wykryć lukę zanim została ona załatana i dla ekspertów ds. cyberbezpieczeństwa to najgorszy z możliwych scenariuszy.
Kaspersky: za atak prawdopodobnie odpowiada grupa cyberprzestępców "DarkHotel"
Zespół z Kaspersky przeanalizował scenariusz przeprowadzonego ataku. Luka CVE-2020-1380 (opisywana również wczoraj) znaleziona w przeglądarce Internet Explorer należała do kategorii Use-After-Free. Oznacza to, że umożliwia pełne wykonanie kodu. Jednakże ze względu na niewielkie uprawnienia IE 11, cyberprzestępcy musieli szperać dalej. Wykryli lukę związaną z błędem w obsłudze usługi drukarki, która z kolei umożliwiła uruchomienie dowolnego kodu w systemie Windows 10. Nadano jej oznaczenie CVE-2020-0986.
"Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu" – mówi Borys Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – dodaje Borys Larin.
Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cyberprzestępcom z DarkHotel. Jedyną poszlaką są nieznaczne podobieństwa między nowym exploitem, a wcześniejszymi, za które odpowiedzialna była ta grupa.