Експертите на Kaspersky откриха уязвимости в най-новите версии на Windows 10 и

Автор: Богдан Унгуряну/Дата на публикуване: 13-08-2020 14:08

експертите

В края на пролетта автоматичните технологии за откриване на Kaspersky предотвратиха целенасочена атака срещу южнокорейска компания. По-внимателен поглед разкрива, че тази атака използва напълно неизвестен досега набор от два експлоата на Day-0: един за дистанционно изпълнение на код за Internet Explorer 11 и един за привилегии (EoP) за Windows. Последният е насочен към най-новите версии на Windows 10.

Уязвимостта Day-0 е вид софтуерна грешка, неизвестна досега. Веднъж открит, той позволява дискретно да извършва злонамерени действия, причинявайки сериозни и неочаквани щети.

Докато разследваха споменатата по-горе атака, изследователите на Kaspersky откриха две уязвимости в Day-0. Първият експлойт, от Internet Explorer, беше Use-After-Free - вид уязвимост, която може да даде възможност за пълни възможности за дистанционно изпълнение на код. Тази операция е класифицирана като CVE-2020-1380.

Въпреки това, тъй като Internet Explorer работи в изолирана среда, нападателите се нуждаят от повече привилегии над заразената машина. Ето защо те се нуждаеха от втора операция, Windows, която използва уязвимост в услугата за принтери. Това позволи на нападателите да изпълнят произволен код върху колата на жертвата. Тази експлоатация на привилегии (EoP) е класифицирана като CVE-2020-0986.

„Когато има атаки с уязвимости в Ден-0, това винаги е чудесна новина за кибер общността. Успешното откриване на такава уязвимост незабавно притиска доставчиците на софтуер да издадат корекция и принуждава потребителите да инсталират всички необходими актуализации. Особено интересното при откритата атака е, че предишните експлоатации, които открихме, бяха насочени главно към отнемане на привилегии. Този случай обаче включва операция с функции за дистанционно изпълнение на код, което е по-опасно. Наред с възможността да повлияе на най-новите издания на Windows 10, откритата атака е наистина рядко нещо в наши дни. Това ни напомня за пореден път да инвестираме в информация за заплахи и доказани технологии за защита, за да откриваме проактивно най-новите заплахи Ден-0 ", коментира Борис Ларин, експерт по сигурността в Kaspersky.

Експертите на Kaspersky не считат за достоверна информацията, че атаката може да бъде приписана на DarkHotel, предвид малкото прилики между новата операция и разкритите преди това, които се приписват на тази група.

Подробна информация за показателите за ангажираност на тази група, включително файлови хешове и C2 сървъри, можете да получите на адрес Kaspersky Threat Intelligence Portal.

Продуктите на Kaspersky откриват тези експлойти със следната присъда на PDM: Exploit.Win32.Generic.

Кръпка за надморска височина на уязвимостта на привилегията CVE-2020-0986 беше освободен на 9 юни 2020 г.

Пач за уязвимост от дистанционно изпълнение на код CVE-2020-1380 беше освободен на 11 август 2020 г.

За да се предпази от тази заплаха, Kaspersky препоръчва следните мерки за сигурност:

  • Инсталирайте корекции на Microsoft за нови уязвимости възможно най-скоро. След като и двете корекции бъдат изтеглени, нападателите вече не могат да използват уязвимостта.
  • Предоставете на вашия екип за киберсигурност (SOC) достъп до най-новата информация за заплахата (IT). Kaspersky Threat Intelligence Portal е уникална точка за достъп до информация за заплахи за компании, предоставяща данни за кибератаки и информация, събрана от Kaspersky за повече от 20 години.
  • За да откриете нивото на защита на крайната точка, своевременно разследвайте и разрешавайте инциденти, внедрявайте EDR решения, като например Откриване и реакция на крайна точка на Kaspersky.
  • В допълнение към приемането на основна защита на крайните точки, внедрете качествено решение за корпоративна сигурност, което открива напреднали мрежови заплахи от самото начало, като например Kaspersky Anti Target Attack Platform.

За повече подробности относно новите операции вижте пълния доклад за Securelist.

За да има по-подробна картина на технологиите, които са открили тази и други уязвимости Day-0 в Microsoft Windows, Kaspersky записва уеб семинар който се предлага при поискване.