Лаборатория Касперского сообщила о целевых атаках с применением уязвимостей нулевого дня

Лаборатория Касперского сообщила о целевых атаках с применением уязвимостей нулевого дня

В апреле 2021 года эксперты «Лаборатории Касперского» обнаружили ряд целевых атак, которые проводились через браузер Chrome с применением ранее неизвестных эксплойтов нулевого дня. Один из них позволял удаленно выполнять код в браузере, а второй, написанный для работы с новейшими и самыми распространёнными сборками Windows 10, — повышать привилегии. В настоящий момент уязвимости исправлены, патчи для них были выпущены 8 июня.

Эксперты сумели полностью проанализировать код эксплойта, повышающего привилегии в системе, и выяснили, что он эксплуатировал две уязвимости в ядре ОС Microsoft Windows. Первая из них, получившая номер CVE-2021-31955, — это уязвимость раскрытия информации в ntoskrnl.exe. Она связана с функцией SuperFetch, которая направлена на сокращение времени загрузки ПО за счет предварительной загрузки часто используемых приложений в оперативную память. Другая уязвимость, CVE-2021-31956, связана с переполнением буфера кучи в драйвере ntfs.sys. Эксплойт использовал ее вместе с механизмом Windows Notification Facility (WNF) для создания примитива произвольного чтения и записи в память.

Помимо эксплойтов в цепочке атаки применяются и другие вредоносные модули. Один из них, стейджер, уведомляет об успешной эксплуатации уязвимости, а также загружает и запускает с удаленного сервера более сложный модуль, дроппер вредоносного ПО. Дроппер используется для установки двух исполняемых файлов, которые притворяются легитимными файлами ОС Microsoft Windows. Один из них представляет собой удалённый шелл, который может загружать и выгружать файлы, создавать процессы, уходить в сон на заданное время и удалять себя со скомпрометированного устройства.

«Мы не смогли атрибутировать эти целевые атаки ни одной из известных нам кибергрупп и поэтому присвоили авторам, стоящим за ними, новое название — PuzzleMaker. Мы будем пристально наблюдать за их дальнейшей деятельностью. В последнее время мы видели несколько волн подобных инцидентов с применением эксплойтов нулевого дня. Уязвимости нулевого дня продолжают оставаться самым эффективным методом заражения. Теперь, когда бреши, о которых шла речь, стали публично известными, возможно, мы увидим рост атак с их использованием. Вот почему очень важно, чтобы пользователи как можно скорее загрузили новейшие патчи от Microsoft», — комментирует Борис Ларин, эксперт по кибербезопасности «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют эксплойт и вредоносные модули с вердиктами PDM:Exploit.Win32.Generic, PDM:Trojan.Win32.Generic и UDS:DangerousObject.Multi.Generic.

По материалам «Лаборатории Касперского»

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Новости в тему

Добавить комментарий


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных