Vulnerabilități din Windows și Chrome, utilizate de hackeri într-o serie de atacuri țintite
Reading Time: 2 minuteExperți din cadrul Kaspersky au descoperit o serie de atacuri țintite împotriva mai multor companii, folosind un lanț nedescoperit anterior de exploatări ale vulnerabilităților de tip zero-days din Google Chrome și Microsoft Windows.
Una dintre exploatări a fost utilizată pentru executarea codului de la distanță în browserul web Chrome, în timp ce cealaltă era o variantă evoluatăcare viza numai cele mai recente și mai proeminente versiuni de Windows 10. Aceasta din urmă exploatează două vulnerabilități în Microsoft Windows Kernel OS: Vulnerabilitatea divulgării informațiilor CVE-2021-31955 și vulnerabilitatea Elevation of Privilege CVE-2021-31956. Microsoft le-a înlăturat pe ambele ca parte a Patch Tuesday.
PuzzleMaker
Ultimele luni au văzut un val e activități de amenințări avansate, care exploatează vulnerabilitățile de tip zero-days. La jumătatea lunii aprilie, experții Kaspersky au descoperit încă un nou val de atacuri de exploatare extrem de țintite, împotriva mai multor companii, care le-au permis atacatorilor să compromită pe ascuns rețelele vizate.
Kaspersky nu a găsit încă nicio legătură între aceste atacuri și actorii de amenințare cunoscuți. Prin urmare, l-au numit pe acest actor PuzzleMaker.
Toate atacurile au fost efectuate prin Chrome și au folosit o cale de acces care a permis executarea codului de la distanță. În timp ce cercetătorii Kaspersky nu au reușit să recupereze codul pentru exploatarea de la distanță, cronologia și disponibilitatea sugerează că atacatorii foloseau vulnerabilitatea CVE-2021-21224, descoperită recent. Această vulnerabilitate a fost legată de o eroare Type Mismatch din V8 – un motor JavaScript utilizat de browserele web Chrome și Chromium. Permite atacatorilor să exploateze procesul de redare Chrome (procesele care sunt responsabile pentru ceea ce se întâmplă în tab-ul utilizatorilor).
Elevation of Privilege
Experții Kaspersky au fost totuși capabili să găsească și să analizeze al doilea exploit: unul evoluat, care exploatează două vulnerabilități distincte în kernel-ul Microsoft Windows OS. Prima este o vulnerabilitate de divulgare a informațiilor (o vulnerabilitate care transmite informații sensibile despre nucleu), atribuită CVE-2021-31955. Mai exact, vulnerabilitatea este afiliată cu SuperFetch – o caracteristică introdusă pentru prima dată în Windows Vista, care are ca scop reducerea timpilor de încărcare a software-ului prin pre-încărcarea aplicațiilor utilizate în mod obișnuit în memorie.
Cea de-a doua vulnerabilitate – o vulnerabilitate de tip Elevation of Privilege (permite atacatorilor să exploateze nucleul și să obțină acces ridicat la computer) – a fost denumită CVE-2021-31956 și este un heap-based buffer overflow. Atacatorii au folosit vulnerabilitatea CVE-2021-31956 alături de Windows Notification Facility (WNF) pentru a crea primitive arbitrare de citire/scriere a memoriei și pentru a executa module malware cu privilegii de sistem.
Două executabile
Odată ce atacatorii foloseau atât exploatarea Chrome, cât și Windows pentru a obține un punct de acces în sistemul vizat, modulul stager descărca și executa un dropper de malware mai complex, de pe un server aflat la distanță. Acest dropper instala apoi două executabile, care apăreau drept fișiere legitime, aparținând sistemului de operare Microsoft Windows. A doua dintre aceste două executabile era un modul shell de la distanță, care era capabil să descarce și să încarce fișiere, să creeze procese, să fie inactiv pentru anumite perioade de timp și să se șteargă din sistemul infectat.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz