Dokładna analiza wykazała, że w ataku wykorzystano nieznany wcześniej łańcuch dwóch exploitów wykorzystujących luki dnia zerowego. Pierwszy wykorzystywał podatności w przeglądarce Internet Explorer 11 i umożliwiał zdalne wykonanie kodu, drugi – w systemie Windows i pozwalał na zwiększenie uprawnień szkodliwego programu. Drugi z exploitów atakował najnowsze wersje systemu Windows 10.
Luka dnia zerowego to rodzaj nieznanego wcześniej błędu w oprogramowaniu. Z kolei exploit to szkodliwe narzędzie wykorzystujące taką lukę do infekowania systemów i wykonywania w nich szkodliwych działań. Jeśli luka zostanie wykryta przez cyberprzestępców zanim zostanie załatana przez producenta oprogramowania, umożliwia dyskretne przeprowadzenie szkodliwych działań powodujących poważne i nieoczekiwane szkody.
Analizując wspomniany wyżej atak, badacze z firmy Kaspersky zdołali zidentyfikować dwa exploity wykorzystujące luki dnia zerowego. Pierwszy robi użytek z luki w przeglądarce Internet Explorer i należy do kategorii Use-After-Free. Jest to rodzaj luki, która umożliwia pełne zdalne wykonanie kodu. Luka została sklasyfikowana jako CVE-2020-1380.
Ponieważ jednak Internet Explorer działa w odizolowanym środowisku, atakujący potrzebowali większych uprawnień w zainfekowanej maszynie. Wykorzystano do tego drugą lukę związaną z błędem w obsłudze usługi drukarki w systemie Windows. Pozwala ona na uruchomienie dowolnego kodu na urządzeniu ofiary. Luka została sklasyfikowana jako CVE-2020-0986.
Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu. W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – powiedział Boris Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cybergangowi DarkHotel na podstawie nieznacznych podobieństw między nowym exploitem a wcześniej wykrytymi exploitami powiązanymi z tą grupą.
Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem, łącznie ze skrótami plików oraz danymi dot. serwerów cyberprzestępczych, można uzyskać na stronie Kaspersky Threat Intelligence Portal.
Produkty firmy Kaspersky wykrywają omawiane exploity przy pomocy werdyktu PDM:Exploit.Win32.Generic.
Poprawka dla luki umożliwiającej zwiększenie uprawnień — CVE-2020-0986 — została opublikowana 9 czerwca 2020 r.
Poprawka dla luki umożliwiającej zdalne wykonanie kodu — CVE-2020-1380 — została opublikowana 11 sierpnia 2020 r.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące środki bezpieczeństwa pozwalające zabezpieczyć się przed opisywanym zagrożeniem:
- Jak najszybciej zainstaluj poprawki firmy Microsoft dla nowych luk w zabezpieczeniach. Gdy pobierzesz obie poprawki, cyberprzestępcy nie będą już w stanie wykorzystać tych luk do własnych celów.
- Zapewnij swojemu zespołowi SoC dostęp do najnowszej analizy zagrożeń. Na przykład, usługa Kaspersky Threat Intelligence Portal dostarcza dane i szczegółowe informacje na temat cyberataków zgromadzone przez firmę Kaspersky na przestrzeni ponad 20 lat.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
Dalsze szczegóły dotyczące nowych exploitów zostały przedstawione w pełnym raporcie dostępnym ma stronie https://r.kaspersky.pl/R2ADV.
Szczegółowe informacje na temat technologii wykrywających zarówno omawiane, jak i inne luki dnia zerowego w systemie Microsoft Windows zostały zaprezentowane w firmy Kaspersky dostępnym na stronie https://r.kaspersky.pl/aabyr.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.