Odborníci spoločnosti Kaspersky objavili chyby v najnovších verziách Windows 10 a Windows

Autor: Bogdan Ungureanu/Dátum uverejnenia: 13-08-2020 14:08

odborníci

Koncom jari technológie automatickej detekcie spoločnosti Kaspersky zabránili cielenému útoku na juhokórejskú spoločnosť. Pri bližšom pohľade sa zistí, že tento útok využíval predtým úplne neznámu sadu dvoch exploitov Day-0: jednu na vzdialené vykonávanie kódu pre Internet Explorer 11 a druhú pre privilégiá (EoP) pre Windows. Druhá uvedená je zameraná na najnovšie verzie systému Windows 10.

Zraniteľnosť Day-0 je typ softvérovej chyby, ktorá bola predtým neznáma. Po objavení umožňuje diskrétne vykonávať škodlivé činnosti, ktoré spôsobujú vážne a neočakávané škody.

Pri vyšetrovaní vyššie spomínaného útoku našli vedci spoločnosti Kaspersky dve zraniteľnosti Day-0. Prvým zneužitím, ktoré vykonal Internet Explorer, bol Use-After-Free - druh chyby zabezpečenia, ktorá umožňuje úplné možnosti vzdialeného spustenia kódu. Táto operácia bola klasifikovaná ako CVE-2020-1380.

Pretože však Internet Explorer pracuje v izolovanom prostredí, útočníci potrebovali viac oprávnení nad infikovaným počítačom. Z tohto dôvodu potrebovali druhú operáciu, Windows, ktorá používala zraniteľnosť v tlačiarni. To umožnilo útočníkom spustiť ľubovoľný kód na vozidle obete. Toto využitie privilégií (EoP) bolo klasifikované ako CVE-2020-0986.

„Keď dôjde k útokom so zraniteľnosťou Day-0, je to pre kybernetickú komunitu vždy skvelá správa. Úspešné odhalenie takejto zraniteľnosti okamžite tlačí na dodávateľov softvéru, aby vydali opravu, a núti používateľov inštalovať všetky potrebné aktualizácie. Na objavenom útoku je obzvlášť zaujímavé to, že predchádzajúce vykorisťovania, ktoré sme našli, boli zamerané hlavne na odstránenie privilégií. Tento prípad však zahŕňa operáciu s funkciami vzdialeného spustenia kódu, ktorá je nebezpečnejšia. Spolu so schopnosťou ovplyvňovať najnovšie vydania systému Windows 10 je objavený útok v dnešnej dobe skutočne vzácnou vecou. Pripomína nám to opäť investovanie do informácií o hrozbách a osvedčených ochranných technológiách s cieľom proaktívne odhaliť najnovšie hrozby Day-0, “komentuje Boris Larin, bezpečnostný expert spoločnosti Kaspersky.

Experti spoločnosti Kaspersky nepovažujú dôveryhodné informácie o tom, že útok možno pripísať spoločnosti DarkHotel, vzhľadom na niekoľko podobností medzi novou operáciou a tými, ktoré boli predtým objavené a ktoré sa pripisujú tejto skupine.

Podrobné informácie o indikátoroch záväzkov tejto skupiny vrátane hashov súborov a serverov C2 nájdete na Kaspersky Threat Intelligence Portal.

Produkty Kaspersky detekujú tieto zneužitia pomocou nasledujúceho verdiktu PDM: Exploit.Win32.Generic.

Oprava výšky zraniteľnosti privilégií CVE-2020-0986 bola prepustený 9. júna 2020.

Oprava pre chybu zabezpečenia CVE-2020-1380 pri vzdialenom spustení kódu bola prepustený dňa 11. augusta 2020.

Kvôli bezpečnosti pred touto hrozbou spoločnosť Kaspersky odporúča nasledujúce bezpečnostné opatrenia:

  • Nainštalujte si čo najskôr opravy Microsoft pre nové chyby zabezpečenia. Po stiahnutí oboch opráv nemôžu útočníci túto zraniteľnosť ďalej používať.
  • Poskytnite svojmu tímu v oblasti kybernetickej bezpečnosti (SOC) prístup k najnovším informáciám o hrozbách (IT). Kaspersky Threat Intelligence Portal je jedinečný prístupový bod pre informácie o hrozbách pre spoločnosti, ktorý poskytuje údaje o kybernetických útokoch a informácie zhromažďované spoločnosťou Kaspersky viac ako 20 rokov.
  • Ak chcete zistiť úroveň ochrany koncového bodu, vyšetriť a vyriešiť incidenty včas, implementujte riešenia EDR, ako napr Kaspersky Endpoint Detection and Response.
  • Okrem prijatia základnej ochrany koncových bodov implementujte kvalitné riešenie podnikovej bezpečnosti, ktoré od začiatku detekuje pokročilé sieťové hrozby, ako napr. Platforma Kaspersky Anti Targeted Attack Platform.

Viac podrobností o nových operáciách nájdete v úplnej správe o Securelist.

Za účelom získania podrobnejších informácií o technológiách, ktoré detekovali túto a ďalšie zraniteľnosti Day-0 v systéme Microsoft Windows, spoločnosť Kaspersky zaznamenala webinár ktorý je k dispozícii na požiadanie.