Na początku 2021 r. badacze z firmy Kaspersky, po wnikliwej analizie szkodliwego modułu cybergangu BITTER wykorzystującego znaną już podatność CVE-2021-1732, zidentyfikowali kolejną lukę dnia zerowego. Eksperci nie są obecnie w stanie powiązać aktywności cyberprzestępców stojących za narzędziem wykorzystującym tę lukę w procesie Desktop Windows Manager systemu Windows z żadnym znanym cybergangiem.
Luki dnia zerowego to nieznane błędy w oprogramowaniu. Zanim zostaną zidentyfikowane, mogą służyć cyberprzestępcom do prowadzenia wielu szkodliwych działań, które mogą mieć nieprzewidywalne i destrukcyjne konsekwencje. Zidentyfikowana przez badaczy z firmy Kaspersky podatność występuje w procesie Desktop Windows Manager systemu Windows i została zgłoszona firmie Microsoft w lutym 2021 r. Po potwierdzeniu luce nadano sygnaturę CVE-2021-28310.
Według badaczy z firmy Kaspersky luka ta jest wykorzystywana do przeprowadzania ataków przez kilka różnych cybergangów. Podatność umożliwia atakującym podniesienie uprawnień w systemie ofiary i wykonanie w nim dowolnego kodu. Wstępne wyniki dochodzenia firmy Kaspersky nie umożliwiają zidentyfikowania pełnego łańcucha infekcji, dlatego na chwilę obecną nie wiadomo, czy szkodliwy moduł wykorzystujący nową lukę jest stosowany wraz z innymi narzędziami.
– Nowy szkodliwy kod został wstępnie zidentyfikowany przez naszą technologię wykrywania exploitów. W ciągu ostatnich kilku lat wbudowaliśmy w nasze produkty szereg mechanizmów zabezpieczających przed exploitami, które wykryły rozmaite podatności dnia zerowego, wielokrotnie udowadniając swoją skuteczność. Będziemy w dalszym ciągu doskonalić te systemy, dzięki czemu wszyscy użytkownicy będą mogli się cieszyć bezpieczniejszym internetem – powiedział Borys Larin, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Łata usuwająca podatność CVE-2021-28310 została opublikowana 13 kwietnia 2021 r.
Produkty firmy Kaspersky wykrywają szkodliwy kod wykorzystujący nową lukę z następującymi werdyktami:
- HEUR:Exploit.Win32.Generic,
- HEUR:Trojan.Win32.Generic,
- PDM:Exploit.Win32.Generic.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky przygotowali kilka porad pozwalających zabezpieczyć się przed szkodliwymi narzędziami wykorzystującymi luki w zabezpieczeniach:
- Nie zwlekaj z instalacją uaktualnień oprogramowania, a w szczególności poprawek bezpieczeństwa. Po załataniu luki cyberprzestępcy nie będą mogli z niej korzystać.
- Aby odciążyć firmowy personel IT, stosuj rozwiązanie bezpieczeństwa punktów końcowych wyposażone w technologię instalacji i zarządzania łatami.
- Zapewnij swojemu zespołowi ds. cyberbezpieczeństwa dostęp do najnowszych danych na tematy zagrożeń.
- Oprócz stosowania niezbędnej ochrony punktów końcowych wdróż rozwiązanie bezpieczeństwa klasy korporacyjnej, które potrafi wykrywać zaawansowane zagrożenia na poziomie sieci już na wczesnym etapie, takie jak np. Kaspersky Anti Targeted Attack Platform.