Oparty na tej luce szkodliwy program (tzw. exploit) umożliwiał zwiększenie uprawnień na atakowanej maszynie oraz obejście mechanizmów bezpieczeństwa w przeglądarce Google Chrome. Nowo wykryty exploit został wykorzystany w operacji cyberprzestępczej WizardOpium.
Luki dnia zerowego to nieznane błędy w oprogramowaniu, które cyberprzestępcy mogą wykorzystać do niezauważalnego działania przez długi czas i wyrządzania poważnych oraz nieoczekiwanych szkód. Zwykłe rozwiązania bezpieczeństwa nie są w stanie zidentyfikować infekcji systemu ani nie potrafią chronić użytkowników przed zagrożeniem, które nie zostało jeszcze wykryte.
Nowa luka w systemie Windows została zidentyfikowana przez badaczy z firmy Kaspersky dzięki innemu exploitowi dnia zerowego. W listopadzie 2019 roku technologia zapobiegania exploitom, która wchodzi w skład większości produktów firmy Kaspersky, wykryła exploita wykorzystującego lukę dnia zerowego w przeglądarce Google Chrome. Umożliwiał on atakującym wykonanie dowolnego kodu na maszynie ofiary. W trakcie dalszego badania operacji, określonej przez ekspertów jako „WizardOpium”, zidentyfikowano kolejną lukę, tym razem w systemie Windows.
Okazało się, że nowo wykryty exploit dnia zerowego dla systemu Windows umożliwiający zwiększenie uprawnień (CVE-2019-1458) został osadzony w wykrytym wcześniej exploicie dla przeglądarki Google Chrome. Wykorzystano go do uzyskania wyższych uprawnień w zainfekowanej maszynie, jak również uniknięcia piaskownicy przeglądarki Chrome – komponentu zabezpieczającego przeglądarkę oraz komputer użytkownika przed atakami cyberprzestępców.
Szczegółowa analiza exploita wykazała, że wykorzystywana luka znajduje się w sterowniku win32k.sys. Luka mogłaby zostać wykorzystana w posiadających najnowsze łaty wersjach systemu Windows 7, a nawet w kilku kompilacjach systemu Windows 10 (problem ten nie dotyczy jednak nowych wersji systemu Windows 10).
Zaplanowanie takiego ataku wymaga ogromnych zasobów, oferując jednocześnie znaczące korzyści atakującym. Liczba wykorzystywanych luk dnia zerowego nieustannie rośnie i nic nie wskazuje na to, że tendencja ta ulegnie odwróceniu. Dlatego firmy powinny wykorzystywać najbardziej aktualną analizę zagrożeń oraz posiadać technologie bezpieczeństwa, które potrafią proaktywnie identyfikować nieznane zagrożenia, takie jak exploity dnia zerowego – powiedział Anton Iwanow, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Produkty firmy Kaspersky wykrywają omawianego exploita jako PDM:Exploit.Win32.Generic.
Luka została zgłoszona firmie Microsoft i załatana 10 grudnia 2019 r.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące środki bezpieczeństwa pozwalające zapobiec instalacji szkodliwych narzędzi m.in. za pośrednictwem omawianej luki dnia zerowego w systemie Windows:
- Niezwłocznie zainstaluj łatę firmy Microsoft. Dzięki temu cyberprzestępcy nie będą już w stanie wykorzystać tej luki w systemie.
- Jeśli martwisz się o bezpieczeństwo całej organizacji, dopilnuj, aby wszystkie aplikacje były uaktualniane, jak tylko zostanie udostępniona nowa łata bezpieczeństwa. Jeśli chcesz mieć pewność, że procesy te przebiegają automatycznie, stosuj produkty bezpieczeństwa wyposażone w możliwości oceny luk w zabezpieczeniach oraz zarządzania łatami.
- W celu zapewnienia ochrony przed nieznanymi zagrożeniami wykorzystuj sprawdzone rozwiązanie zabezpieczające z możliwościami wykrywania w oparciu o zachowanie procesów w systemie, takie jak np. Kaspersky Endpoint Security.
- Dopilnuj, aby zespół ds. bezpieczeństwa posiadał dostęp do najnowszej analizy cyberzagrożeń. Prywatne raporty na temat aktualnej sytuacji dotyczącej krajobrazu zagrożeń są dostępne dla klientów usługi Kaspersky Intelligence Reporting. Dalsze szczegóły można uzyskać pod adresem: [email protected].
- Stosuj technologię piaskownicy w celu analizowania podejrzanych obiektów. Podstawowy, bezpłatny dostęp do usługi Kaspersky Cloud Sandbox można uzyskać na stronie https://opentip.kaspersky.com.
Szczegóły techniczne związane z atakami wykorzystującymi omawianą lukę są dostępne na stronie https://kas.pr/47z8.
Więcej informacji na temat technologii wykorzystanych do wykrycia tej i innych luk dnia zerowego w systemie Microsoft Windows zawiera webinarium firmy Kaspersky dostępne na stronie https://www.brighttalk.com/webcast/15591/348704.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.