Kaspersky: luki dnia zerowego w Windows 10 i Internet Explorer, są już łatki

Przeczytaj także: Luka dnia zerowego w przeglądarce Internet Explorer

Jak już wspomniano we wstępie, analiza ataku na południowokoreańską firmę pozwoliła na wyodrębnienie dwóch exploitów żerujących na lukach dnia zerowego. Jeden z nich korzysta z luki istniejącej w przeglądarce Internet Explorer i należy do kategorii Use-After-Free. Luka ta, umożliwiająca zdalne wykonanie kodu, została sklasyfikowana jako CVE-2020-1380.

Ze względu jednak na fakt, że przeglądarka Internet Explorer działa w odizolowanym środowisku, cyberprzestępcom w zainfekowanym urządzeniu potrzebne były większe uprawnienia. Z doniesień Kaspersky wynika, że poradzili sobie i z tym, wykorzystując kolejną lukę, która związana była z błędem w obsłudze usługi drukarki w systemie Windows. Umożliwiała ona uruchomienie dowolnego kodu na urządzeniu ofiary. Tę lukę sklasyfikowano jako CVE-2020-0986.

Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cybergangowi DarkHotel na podstawie nieznacznych podobieństw między nowym exploitem a wcześniej wykrytymi exploitami powiązanymi z tą grupą.
Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem, łącznie ze skrótami plików oraz danymi dot. serwerów cyberprzestępczych, można uzyskać na stronie Kaspersky Threat Intelligence Portal.

Produkty firmy Kaspersky wykrywają omawiane exploity przy pomocy werdyktu PDM:Exploit.Win32.Generic.

Poprawka dla luki umożliwiającej zwiększenie uprawnień – CVE-2020-0986 – została opublikowana 9 czerwca 2020 r.

Poprawka dla luki umożliwiającej zdalne wykonanie kodu – CVE-2020-1380 – została opublikowana 11 sierpnia 2020 r.

Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu. W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – powiedział Borys Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.