Ще в квітні експерти Касперського виявили серію цілеспрямованих кібератак з використанням експлойтів проти кількох компаній, які використовували раніше невідомі нульові дні для Google Chrome і Microsoft Windows. Нова загроза PuzzleMaker в дії.
Kaspersky поки що не зміг підключитися до відомих загроз, тому він називає цю нову загрозу PuzzleMaker. Один із експлойтів використовувався для віддаленого виконання коду у веб-браузері Chrome, інший використовувався для підвищення привілеїв і був націлений на останні та найпопулярніші збірки Windows 10. Останній використовує дві вразливості в ядрі операційної системи Microsoft Windows: уразливість CVE-2021-31955 і вразливість підвищення привілеїв CVE-2021-31956. Microsoft виправила обидва вчора ввечері в рамках Patch Tuesday.
Zero Day Puzzle Maker
Протягом останніх кількох місяців було здійснено низку передових дій із загрозами, які використовують нульові дні. У середині квітня експерти Kaspersky виявили нову хвилю цілеспрямованих експлойт-атак проти кількох компаній, де зловмисники могли приховано скомпрометувати цільові мережі. Усі атаки здійснювалися через Chrome і використовували експлойт, який дозволяв дистанційне виконання коду.
Дослідникам Kaspersky не вдалося отримати код експлойту віддаленого виконання, але час і доступність вказують на те, що зловмисники скористалися виправленою вразливістю CVE-2021-21224. Це пов’язано з помилкою невідповідності типів у V8 – механізмі JavaScript, який використовується веб-переглядачами Chrome і Chromium. Це дозволило зловмисникам використовувати процес рендерингу Chrome, який відповідає за те, що відбувається на вкладці користувача.
Дві вразливості в ядрі Microsoft Windows
Однак експерти Касперського змогли виявити та проаналізувати другий експлойт. Це експлойт Elevation of Privilege, який використовує дві вразливості в ядрі операційної системи Microsoft Windows. Перша — уразливість до розкриття інформації під назвою CVE-2021-31955, яка призводить до витоку конфіденційної інформації ядра. Уразливість пов’язана з функцією SuperFetch, яка вперше була представлена в Windows Vista і була розроблена для скорочення часу завантаження програмного забезпечення шляхом попереднього завантаження часто використовуваних програм у пам’ять.
Другий — уразливість підвищення привілеїв, яка дозволяє зловмисникам скомпрометувати ядро та отримати розширений доступ до комп’ютера. Він має позначення CVE-2021-31956 і є переповненням буфера на основі купи. Зловмисники використовували вразливість CVE-2021-31956 разом із Windows Notification Facility (WNF) для створення довільних примітивів читання та запису в пам’яті та запуску модулів зловмисного програмного забезпечення із системними привілеями.
Dropper шкідливих програм перезавантажує віддалений модуль оболонки
Після того, як зловмисники скористалися експлойтами Chrome і Windows, щоб закріпитися на цільовій системі, модуль stager завантажує та запускає більш складну програму-дроппер з віддаленого сервера. Потім встановлюється два виконуваних файли, які маскуються під справжні файли операційної системи Microsoft Windows. Другий із цих двох виконуваних файлів — це віддалений модуль оболонки, здатний завантажувати та завантажувати файли, створювати процеси, залишатися неактивним протягом певного часу та видалятися із зараженої системи. Microsoft випустила виправлення для обох уразливостей Windows у рамках Patch Tuesday.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/