Późną wiosną 2020 r. automatyczne technologie wykrywania firmy Kaspersky udaremniły cyberatak ukierunkowany na południowokoreańską firmę. Dokładna analiza wykazała, że w ataku wykorzystano nieznany wcześniej łańcuch dwóch exploitów wykorzystujących luki dnia zerowego. Pierwszy wykorzystywał podatności w przeglądarce Internet Explorer 11 i umożliwiał zdalne wykonanie kodu, drugi – w systemie Windows i pozwalał na zwiększenie uprawnień szkodliwego programu.
Drugi z exploitów atakował najnowsze wersje systemu Windows 10.
Luka dnia zerowego to rodzaj nieznanego wcześniej błędu w oprogramowaniu. Z kolei exploit to szkodliwe narzędzie wykorzystujące taką lukę do infekowania systemów i wykonywania w nich szkodliwych działań. Jeśli luka zostanie wykryta przez cyberprzestępców zanim zostanie załatana przez producenta oprogramowania, umożliwia dyskretne przeprowadzenie szkodliwych działań powodujących poważne i nieoczekiwane szkody.
Analizując wspomniany wyżej atak, badacze z firmy Kaspersky zdołali zidentyfikować dwa exploity wykorzystujące luki dnia zerowego. Pierwszy robi użytek z luki w przeglądarce Internet Explorer i należy do kategorii Use-After-Free. Jest to rodzaj luki, która umożliwia pełne zdalne wykonanie kodu. Luka została sklasyfikowana jako CVE-2020-1380.
Ponieważ jednak Internet Explorer działa w odizolowanym środowisku, atakujący potrzebowali większych uprawnień w zainfekowanej maszynie. Wykorzystano do tego drugą lukę związaną z błędem w obsłudze usługi drukarki w systemie Windows. Pozwala ona na uruchomienie dowolnego kodu na urządzeniu ofiary. Luka została sklasyfikowana jako CVE-2020-0986.
– Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu. W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – powiedział Boris Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cybergangowi DarkHotel na podstawie nieznacznych podobieństw między nowym exploitem a wcześniej wykrytymi exploitami powiązanymi z tą grupą.
Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem, łącznie ze skrótami plików oraz danymi dot. serwerów cyberprzestępczych, można uzyskać na stronie Kaspersky Threat Intelligence Portal.
Produkty firmy Kaspersky wykrywają omawiane exploity przy pomocy werdyktu PDM:Exploit.Win32.Generic.
Poprawka dla luki umożliwiającej zwiększenie uprawnień — CVE-2020-0986 — została opublikowana 9 czerwca 2020 r.
Poprawka dla luki umożliwiającej zdalne wykonanie kodu — CVE-2020-1380 — została opublikowana 11 sierpnia 2020 r.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące środki bezpieczeństwa pozwalające zabezpieczyć się przed opisywanym zagrożeniem:
- Jak najszybciej zainstaluj poprawki firmy Microsoft dla nowych luk w zabezpieczeniach. Gdy pobierzesz obie poprawki, cyberprzestępcy nie będą już w stanie wykorzystać tych luk do własnych celów.
- Zapewnij swojemu zespołowi SoC dostęp do najnowszej analizy zagrożeń. Na przykład, usługa Kaspersky Threat Intelligence Portal dostarcza dane i szczegółowe informacje na temat cyberataków zgromadzone przez firmę Kaspersky na przestrzeni ponad 20 lat.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.