A Kaspersky Internet Explorer sérült

Szerző: Bogdan Biszok/Megjelenés dátuma: 2018-05-10 12:05

internet

2018. április végén a Kaspersky Lab termékek proaktív módon észleltek egy eddig ismeretlen kihasználást, amelyet a vállalat szakértői elemzése után bebizonyosodott, hogy nulla napos CVE-2018-8174 biztonsági rést használ az Internet Explorer számára. Szakértők szerint célzott támadásokban alkalmazták.

Érdekes módon az Internet Explorer kiaknázását egy Microsoft Word dokumentumba töltötték le, amely az első ismert eset egy ilyen technikának. Érdemes megjegyezni azt is, hogy a Microsoft Word naprakész verziója használható.

A felfedezés idején a Kaspersky Lab jelentette a sebezhetőséget a Microsoftnak.

A kihasználás olyan programtípus, amely kihasználja egy másik program sebezhetőségét vagy hibáját az áldozatok megfertőzésére. A kizsákmányolást mind a pénzt keresni akaró kiberbűnözők, mind az állam által támogatott csoportok használják.

Ebben az esetben az azonosított kihasználás egy veszélyes kódon alapul, amely kihasználja a nulla napos biztonsági rést - egy tipikus UAF (használat utáni ingyenes) hibát, amikor egy legitim futtatható kód, például az Internet Explorer esetében hibás logikát alkalmaz memória feldolgozása. Ez azt az üzenetet küldi, hogy a memória felszabadult. Ha a legtöbb esetben az eredmény a böngésző egyszerű blokkolása, a kihasználás segítségével a támadók a hibát használják, hogy átvegyék az eszköz irányítását.

A kihasználások további elemzése kimutatta, hogy a fertőzés folyamata a következő lépéseket tartalmazza:
• Az áldozat megkapja a veszélyes Microsoft Office RTF dokumentumot;
• A dokumentum megnyitása után letölti a kihasználás második szakaszát - egy HTML oldalt, amely rosszindulatú program kódot tartalmaz;
• A kód kiváltja az UAF memóriazavar-hibát;
• Ezután végrehajtják a veszélyes elemeket letöltő shell kódot.

"A javításig ez a technika lehetővé tette a bűnözők számára, hogy az Internet Explorer betöltését kényszerítsék, függetlenül attól, hogy milyen böngészőt szoktak használni, növelve az amúgy is hatalmas támadási területet. Szerencsére a fenyegetés proaktív felfedezése oda vezetett, hogy a Microsoft a biztonsági javítást időben kiadta. Javasoljuk, hogy a szervezetek és az egyéni felhasználók azonnal telepítsék a legújabb javításokat, mivel nem kell sok időbe telni, amíg a sérülékenység kihasználásra kerül a kiaknázási készletekbe, és nemcsak kifinomult szerzők használják, hanem és hétköznapi kiberbűnözők "- mondja Anton Ivanov, a Kaspersky Lab biztonsági kutatója.