Luki dnia zerowego w systemie Windows oraz przeglądarce Chrome wykorzystane w serii zaawansowanych cyberataków

W kwietniu eksperci z firmy Kaspersky wykryli wiele ataków precyzyjnie wycelowanych w liczne firmy. Użyto w nich nieznanego wcześniej łańcucha szkodliwych narzędzi wykorzystujących luki dnia zerowego w przeglądarce Google Chrome i systemie Microsoft Windows. Jedno z tych narzędzi służy do zdalnego wykonywania szkodliwego kodu w przeglądarce, a drugie pozwala na zwiększanie uprawnień w atakowanym systemie. Luki zostały już załatane przez firmę Microsoft.

 

W ostatnich miesiącach miała miejsce fala aktywności obejmującej zaawansowane zagrożenia wykorzystujące luki dnia zerowego. W połowie kwietnia eksperci z firmy Kaspersky odkryli kolejną partię wysoce ukierunkowanych ataków na liczne firmy z wykorzystaniem exploitów, które pozwoliły atakującym ukradkowo zainfekować atakowane sieci. Firma Kaspersky nie powiązała jeszcze tych ataków z żadnymi znanymi ugrupowaniami cyberprzestępczymi, a sprawcy są określani jako „PuzzleMaker”.

Wszystkie ataki zostały przeprowadzone za pośrednictwem przeglądarki Chrome i wykorzystywały exploita umożliwiającego zdalne wykonanie kodu. Chociaż badacze z firmy Kaspersky nie byli w stanie dotrzeć do kodu exploita, porządek chronologiczny – jak również dostępność – sugerują, że atakujący wykorzystywali załataną już lukę CVE-2021-21224. Była ona związana z błędem niezgodności typów w silniku JavaScript wykorzystywanym przez przeglądarki Chrome i Chromium.

Eksperci z firmy Kaspersky zdołali znaleźć i przeanalizować drugi exploit: narzędzie umożliwiające podniesienie uprawnień, które wykorzystuje dwie różne luki w jądrze Microsoft Windows OS. Pierwsza z nich to luka powodująca wyciek wrażliwych informacji dotyczących jądra systemu, której nadano kod CVE-2021-31955. Luka ta jest związana z funkcją wstępnego ładowania do pamięci, która po raz pierwszy została wprowadzona do systemu Windows Vista w celu skrócenia czasu uruchamiania oprogramowania.

Druga luka – podnosząca uprawnienia w systemie – otrzymała nazwę CVE-2021-31956. Atakujący wykorzystali ją wraz z systemem powiadomień systemu Windows w celu m.in. uruchamiania modułów szkodliwego oprogramowania z uprawnieniami systemu.

Po wykorzystaniu exploitów dla Chrome’a i Windowsa w celu przedostania się do atakowanego systemu szkodnik pobiera ze zdalnego serwera kolejny moduł. Jest on odpowiedziany za pobranie i zainstalowanie dwóch plików wykonywalnych, które podszywają się pod legalne moduły systemu Windows. Jeden z nich potrafi pobierać i przesyłać pliki, tworzyć procesy, pozostawać w uśpieniu przez pewien czas oraz usuwać się z zainfekowanego systemu.

Firma Microsoft opublikowała już poprawkę na obie luki w systemie Windows w ramach tzw. poprawkowego wtorku.

Omawiane ataki były wysoce ukierunkowane, ale nie zostały jeszcze powiązane z żadnym znanym ugrupowaniem cyberprzestępczym. Dlatego nadaliśmy atakującym nazwę „PuzzleMaker” i zamierzamy uważnie monitorować krajobraz bezpieczeństwa pod kątem przyszłej aktywności lub nowych informacji dotyczących tego ugrupowania. Ostatnio zaobserwowaliśmy kilka fal szeroko nagłośnionej aktywności dotyczącej zagrożeń wykorzystujących exploity dnia zerowego. Jest to przypomnienie, że luki dnia zerowego nadal stanowią bardzo skuteczną metodę infekowania celów. Teraz, kiedy te luki zostały upublicznione, być może zwiększy się liczba przypadków wykorzystania ich w atakach przez omawiane bądź inne ugrupowanie cyberprzestępcze. To oznacza, że użytkownicy powinni jak najszybciej pobrać najnowszą poprawkę firmy Microsoft – powiedział Boris Larin, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Produkty firmy Kaspersky wykrywają i chronią przed szkodliwymi narzędziami wykorzystującymi omawiane luki w zabezpieczeniach oraz powiązanymi z nimi modułami szkodliwego oprogramowania.

Szczegóły techniczne dotyczące luk i szkodliwych narzędzi wykrytych przez badaczy z firmy Kaspersky są dostępne na stronie https://r.kaspersky.pl/7gPXS.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć firmową sieć przed atakami wykorzystującymi wspomniane i podobne luki:

  • Jak najszybciej uaktualnij przeglądarkę Chrome oraz system Windows. Zadbaj, by wszelkie uaktualnienia były instalowane na bieżąco.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak np. Kaspersky Endpoint Security for Business, które wykorzystuje technologię zapobiegania exploitom oraz wykrywania określonego zachowania, a także silnik korygujący pozwalający wycofywać szkodliwe działania.
  • Zastosuj rozwiązania EDR oraz chroniące przed atakami APT, wyposażone w możliwości wykrywania zagrożeń, badania incydentów oraz natychmiastowego łagodzenia ich skutków. Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszych danych dotyczących zagrożeń i regularnie podnoś jego kwalifikacje poprzez profesjonalne szkolenie. Więcej informacji na temat takich technologii znajduje się na stronie https://www.kaspersky.pl/ochrona-dla-korporacji.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *