A Kaspersky szakértői biztonsági réseket fedeztek fel a Windows 10 és a legújabb verzióiban

Szerző: Bogdan Ungureanu/Megjelenés dátuma: 2020-08-13 14:08

szakértői

Késő tavasszal a Kaspersky automatikus felderítési technológiái megakadályozták a dél-koreai vállalat elleni célzott támadást. Közelebbről megvizsgálva kiderül, hogy ez a támadás egy korábban teljesen ismeretlen két Day-0 kihasználtságot használt: egy az Internet Explorer 11 távoli kódfuttatásához, egy pedig a Windows számára a jogosultságokhoz (EoP). Ez utóbbi a Windows 10 legújabb verzióit célozza meg.

A Day-0 sérülékenység egy korábban ismeretlen típusú szoftverhiba. Miután felfedezték, lehetővé teszi a rosszindulatú tevékenységek diszkrét végrehajtását, súlyos és váratlan károkat okozva.

A fent említett támadás vizsgálata során a Kaspersky kutatói két Day-0 sebezhetőséget találtak. Az Internet Explorer első kihasználása a Használat utáni szabad felhasználás volt - egy olyan típusú sebezhetőség, amely lehetővé teszi a teljes távoli kódfuttatási képességeket. Ezt a műveletet a CVE-2020-1380 kategóriába sorolták.

Mivel azonban az Internet Explorer elszigetelt környezetben működik, a támadóknak több jogosultságra volt szükségük a fertőzött gép felett. Ezért volt szükségük egy második műveletre, a Windows-ra, amely biztonsági rést használt a nyomtatószolgáltatásban. Ez lehetővé tette a támadók számára, hogy önkényes kódot hajtsanak végre az áldozat autóján. A privilégiumok e kiaknázása a CVE-2020-0986 besorolású.

"Ha a 0. nap sebezhetőségével támadások történnek, az mindig nagy hír a számítógépes közösség számára. Egy ilyen biztonsági rés sikeres felderítése nyomást gyakorol a szoftvergyártókra egy javítás kiadására, és arra kényszeríti a felhasználókat, hogy telepítsék az összes szükséges frissítést. Különösen érdekes a felfedezett támadásban, hogy a korábbi kizsákmányolások főleg a kiváltságok feloldására irányultak. Ez az eset azonban magában foglal egy távoli kódfuttatási funkciókat tartalmazó műveletet, amely veszélyesebb. A felfedezett támadás a Windows 10 legújabb verzióinak befolyásolásával együtt manapság valóban ritka dolog. Ez ismét emlékeztet minket arra, hogy fektessünk be a fenyegetésekre és a bevált védelmi technológiákra vonatkozó információkba, hogy proaktív módon felismerhessük a legújabb fenyegetéseket - Day 0 "- kommentálja Boris Larin, a Kaspersky biztonsági szakértője.

A Kaspersky szakértői nem tartják hitelesnek azokat az információkat, amelyek szerint a támadás a DarkHotelnek tulajdonítható, tekintettel az új művelet és a korábban felfedezettek kevés hasonlóságára, amelyek ennek a csoportnak tulajdoníthatók.

A csoport kötelezettségvállalási mutatóiról, beleértve a fájlok kivonatát és a C2 szervereket, részletes információk a következő címen érhetők el: Kaspersky Threat Intelligence Portal.

A Kaspersky-termékek a következő PDM-ítélettel észlelik ezeket a kihasználásokat: Exploit.Win32.Generic.

A CVE-2020-0986 privilégium sebezhetőségének tengerszint feletti foltja volt megjelent 2020. június 9-én.

A CVE-2020-1380 távoli kódfuttatási sebezhetőség javítása volt megjelent 2020. augusztus 11-én.

A Kaspersky a következő biztonsági intézkedéseket javasolja a fenyegetés ellen:

  • A lehető leggyorsabban telepítse a Microsoft javításait az új biztonsági résekhez. A mindkét javítás letöltését követően a támadók már nem használhatják a biztonsági rést.
  • Adjon kiberbiztonsági (SOC) csapatának hozzáférést a legfrissebb fenyegetési információkhoz (IT). Kaspersky Threat Intelligence Portal egy egyedülálló hozzáférési pont a vállalatokat fenyegető fenyegetésekhez, amely a kiberrohamokról és a Kaspersky által több mint 20 éve gyűjtött információkról nyújt információt.
  • A végpontvédelem szintjének észleléséhez, időben vizsgálja ki és oldja meg az incidenseket, valósítson meg EDR megoldásokat, mint pl Kaspersky Endpoint Detection and Response.
  • Az alapvető végpontvédelem elfogadása mellett valósítson meg egy minőségi, vállalati biztonsági megoldást, amely eleve felismeri a fejlett hálózati fenyegetéseket, mint pl. Kaspersky Anti Targeted Attack Platform.

Az új műveletekkel kapcsolatos további részletekért lásd a teljes jelentést Biztonsági lista.

Annak érdekében, hogy részletesebb képet kapjon azokról a technológiákról, amelyek felfedezték ezt és más, a Microsoft által a Day-0-ban elkövetett biztonsági réseket, a Kaspersky webinárium amely kérésre elérhető.