Po opublikowaniu przez Microsoft łaty dla luki w oprogramowaniu eksperci z Kaspersky Lab mogą wyjaśnić, w jaki sposób wykryta przez nich we wrześniu luka dnia zerowego w systemie Windows była wykorzystywana przez ugrupowanie cyberprzestępcze FruityArmor do przeprowadzania ataków ukierunkowanych. Członkowie FruityArmor wykorzystywali lukę CVE-2016-3393, aby uzyskać większe przywileje na maszynach ofiar i zdalnie wykonać swój szkodliwy kod.
CVE-2016-3393 jest czwartą luką dnia zerowego, jaka została wykryta w tym roku przez nowe technologie Kaspersky Lab służące do identyfikacji i blokowania tego typu podatności w systemach i aplikacjach.
Po przeniknięciu do atakowanej maszyny wspomniane ugrupowanie cyberprzestępcze zwykle wykorzystuje złośliwy kod angażujący lukę w zabezpieczeniach przeglądarki internetowej, aby rozpocząć swoją szkodliwą aktywność. Jednak zważywszy na to, że wiele przeglądarek wykorzystuje tzw. technologię piaskownicy (ang. sandbox) – funkcję wykorzystywaną do izolowania i bezpiecznego uruchamiania nowych aplikacji – tego typu szkodliwy kod rzadko wystarczy, aby zapewnić atakującym dostęp, jakiego potrzebują. Dlatego FruityArmor uzupełnił swój arsenał o narzędzie umożliwiające zwiększenie uprawnień w zainfekowanym systemie z użyciem luki CVE-2016-3393.
Po skutecznej instalacji szkodliwego kodu następuje wykonanie kolejnej funkcji z przywilejami wyższego poziomu, co umożliwia komunikowanie się z serwerem kontrolowanym przez cyberprzestępców. Szkodliwe oprogramowanie jest tym samym gotowe do otrzymania dalszych poleceń i pobrania dodatkowych modułów.
– Chociaż cyberprzestępcy coraz częściej wykorzystują niestandardowe szkodliwe oprogramowanie, luki dnia zerowego nadal stanowią pożądaną zdobycz dla grup stosujących ataki ukierunkowane. Zapotrzebowanie na takie luki prawdopodobnie nie zmniejszy się w najbliższym czasie, dlatego badacze zajmujący się bezpieczeństwem muszą nadal ich szukać, technologie ochrony muszą być w stanie je wykrywać, a twórcy oprogramowania szybko dostarczać poprawki. Wspólnie odpowiadamy za ochronę użytkowników – powiedział Anton Iwanow, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący lukę CVE-2016-3393 jako:
- HEUR:Exploit.Win32.Generic,
- PDM:Exploit.Win32.Generic.
Szczegóły techniczne dotyczące wykorzystania przez atakujących luki CVE-2016-3393 są dostępne na stronie https://kas.pr/b4bH.
Dalsze informacje na temat ugrupowania cyberprzestępczego FruityArmor są dostępne dla klientów usługi Kaspersky Intelligence Services.
Pozostałe trzy luki dnia zerowego wykryte przez Kaspersky Lab w 2016 r. to błędy w zabezpieczeniach aplikacji Adobe Flash CVE-2016-1010 oraz CVE-2016-4171, a także luka dla systemu Windows — CVE-2016-0165.