Kaspersky Internet Explorer е повреден

Автор: Богдан Бишок/Дата на публикуване: 10-05-2018 12:05

explorer

В края на април 2018 г. продуктите на Kaspersky Lab откриха проактивно неизвестен досега експлойт, който след анализ на експертите на компанията се оказа, че използва уязвимост с нулев ден CVE-2018-8174 за Internet Explorer. Според експерти той е използван при целенасочени атаки.

Интересното е, че експлойтът на Internet Explorer е изтеглен в документ на Microsoft Word, което е първият известен случай на подобна техника. Също така си струва да се отбележи, че може да се използва актуална версия на Microsoft Word.

По време на откритието Kaspersky Lab съобщи за уязвимостта на Microsoft.

Експлойтът е вид програма, която се възползва от уязвимост или грешка в друга програма, за да зарази жертвите. Подвизите се използват както от киберпрестъпници, които искат да печелят пари, така и от спонсорирани от държавата групи.

В този случай идентифицираният експлойт се основава на опасен код, който експлоатира уязвимостта на нулевия ден - типична грешка в UAF (без след употреба), когато легитимен изпълним код, като този за Internet Explorer, прилага неправилна логика обработка на паметта. Това изпраща съобщението, че паметта е освободена. Ако в повечето случаи резултатът е просто блокиране на браузъра, с помощта на експлоата, нападателите използват грешката, за да поемат контрола над устройството.

Допълнителен анализ на подвизите показа, че процесът на заразяване включва следните стъпки:
• Жертвата получава опасния документ на Microsoft Office RTF;
• След отваряне на документа се изтегля вторият етап на експлоата - HTML страница с код на злонамерен софтуер;
• Кодът задейства грешка в обезценяването на паметта на UAF;
• След това се изпълнява кодът на черупката, който изтегля опасните предмети.

„До поправката тази техника позволяваше на престъпниците да принуждават Internet Explorer да се зарежда, без значение какъв браузър обикновено се използва, увеличавайки площта за атака, която вече беше огромна. За щастие, проактивното откриване на заплахата доведе до своевременното освобождаване на корекцията за сигурност от Microsoft. Препоръчваме на организациите и отделните потребители да инсталират най-новите корекции незабавно, тъй като експлоатите няма да отнемат много време, за да бъдат включени в експлойт комплекти и използвани не само от сложни автори, но и обикновени киберпрестъпници ", казва Антон Иванов, изследовател по сигурността, Лаборатория Касперски.