Весной 2020 года «Лаборатория Касперского» предотвратила кибератаку на южнокорейскую компанию, для совершения которой использовалась ранее неизвестная цепочка из двух уязвимостей нулевого дня*. Один эксплойт позволял удаленно выполнять код в браузере Internet Explorer 11, а другой — получать привилегии в самых новых версиях Windows 10.
Злоумышленникам было недостаточно эксплойта для Internet Explorer, поскольку этот браузер работает в изолированной среде и не дает нужные им привилегии. Чтобы выполнять произвольный код на зараженном устройстве, атакующие применяли еще один эксплойт — он использовал уязвимость в функции вывода на печать в Windows.
«Если становится известно об атаке, совершаемой с помощью уязвимостей нулевого дня, это всегда вызывает большой переполох в среде разработчиков. Вендор срочно выпускает патч и уведомляет пользователей о необходимости как можно быстрее установить необходимые обновления. Особенность данной атаки заключается в том, что если раньше мы преимущественно находили эксплойты, позволяющие получить дополнительные привилегии в системе, то в данном случае эксплойт давал возможность удаленно выполнять код, что гораздо более опасно. Такое встречается нечасто, и данный инцидент еще раз подтверждает необходимость инвестировать в аналитику угроз и надежные защитные технологии, способные проактивно выявлять новейшие угрозы нулевого дня», — комментирует Борис Ларин, эксперт «Лаборатории Касперского».
На основе некоторого сходства нового эксплойта и эксплойтов, замеченных ранее в атаках DarkHotel, эксперты «Лаборатории Касперского» делают осторожные предположения, что ответственность за данную атаку может лежать на этой группе. Подробная информация об индикаторах компрометации, относящихся к этой группе, включая хэши файлов и серверы C2, доступна на портале Kaspersky Threat Intelligence Portal.
Продукты «Лаборатории Касперского» детектируют данные эксплойты вердиктом PDM:Exploit.Win32.Generic.
Патч для уязвимости CVE-2020-0986 был выпущен 9 июня 2020 года, а патч для уязвимости CVE-2020-1380 — 11 августа 2020 года.
Чтобы обезопасить инфраструктуру компании от возможных атак с использованием данных уязвимостей, «Лаборатория Касперского» рекомендует принять следующие меры:
- как можно скорее установить патчи, выпущенные Microsoft;
- предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»;
- для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response;
- в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform.
Более подробно об этих эксплойтах можно прочитать по ссылке: https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/.
Также в записи доступен вебинар на английском языке о технологиях, которые детектируют эту и другие уязвимости нулевого дня в Microsoft Windows.
*Уязвимость нулевого дня — это ранее неизвестный баг в ПО, который позволяет скрытно производить вредоносные действия, приводящие к серьезному ущербу.