Expertii Kaspersky au descoperit o serie de atacuri tintite impotriva mai multor companii, folosind un lant nedescoperit anterior de exploatari ale vulnerabilitatilor de tip zero-days din Google Chrome si Microsoft Windows.
Una dintre exploatari a fost utilizata pentru executarea codului de la distanta in browserul web Chrome, in timp ce cealalta era o varianta evoluata care viza numai cele mai recente si mai proeminente versiuni de Windows 10. Aceasta din urma exploateaza doua vulnerabilitati in Microsoft Windows Kernel OS: Vulnerabilitatea divulgarii informatiilor CVE-2021-31955 si vulnerabilitatea Elevation of Privilege CVE-2021-31956. Microsoft le-a inlaturat pe ambele ca parte a Patch Tuesday.
Ultimele luni au vazut un val de activitati de amenintari avansate, care exploateaza vulnerabilitatile de tip zero-days. La jumatatea lunii aprilie, expertii Kaspersky au descoperit inca un nou val de atacuri de exploatare extrem de tintite, impotriva mai multor companii, care le-au permis atacatorilor sa compromita pe ascuns retelele vizate.
PuzzleMaker
Kaspersky nu a gasit inca nicio legatura intre aceste atacuri si actorii de amenintare cunoscuti. Prin urmare, l-au numit pe acest actor PuzzleMaker.
Toate atacurile au fost efectuate prin Chrome si au folosit o cale de acces care a permis executarea codului de la distanta. In timp ce cercetatorii Kaspersky nu au reusit sa recupereze codul pentru exploatarea de la distanta, cronologia si disponibilitatea sugereaza ca atacatorii foloseau vulnerabilitatea CVE-2021-21224, descoperita recent. Aceasta vulnerabilitate a fost legata de o eroare Type Mismatch din V8 – un motor JavaScript utilizat de browserele web Chrome si Chromium. Permite atacatorilor sa exploateze procesul de redare Chrome (procesele care sunt responsabile pentru ceea ce se intampla in tab-ul utilizatorilor).
O vulnerabilitate periculoasă
Expertii Kaspersky au fost totusi capabili sa gaseasca si sa analizeze al doilea exploit: unul evoluat, care exploateaza doua vulnerabilitati distincte in kernel-ul Microsoft Windows OS. Prima este o vulnerabilitate de divulgare a informatiilor (o vulnerabilitate care transmite informatii sensibile despre nucleu), atribuita CVE-2021-31955. Mai exact, vulnerabilitatea este afiliata cu SuperFetch – o caracteristica introdusa pentru prima data in Windows Vista, care are ca scop reducerea timpilor de incarcare a software-ului prin pre-incarcarea aplicatiilor utilizate in mod obisnuit in memorie.
Cea de-a doua vulnerabilitate – o vulnerabilitate de tip Elevation of Privilege (permite atacatorilor sa exploateze nucleul si sa obtina acces ridicat la computer) – a fost denumita CVE-2021-31956 si este un heap-based buffer overflow. Atacatorii au folosit vulnerabilitatea CVE-2021-31956 alaturi de Windows Notification Facility (WNF) pentru a crea primitive arbitrare de citire/scriere a memoriei si pentru a executa module malware cu privilegii de sistem.
Odata ce atacatorii foloseau atat exploatarea Chrome, cat si Windows pentru a obtine un punct de acces in sistemul vizat, modulul stager descarca si executa un dropper de malware mai complex, de pe un server aflat la distanta.
Acest dropper instala apoi doua executabile, care apareau drept fisiere legitime, apartinand sistemului de operare Microsoft Windows. A doua dintre aceste doua executabile era un modul shell de la distanta, care era capabil sa descarce si sa incarce fisiere, sa creeze procese, sa fie inactiv pentru anumite perioade de timp si sa se stearga din sistemul infectat.
„Desi aceste atacuri au fost foarte tintite, inca nu le-am legat de niciun actor de amenintare cunoscut. De aceea, l-am numit pe actorul din spatele lor „PuzzleMaker” si vom monitoriza indeaproape peisajul securitatii pentru activitati viitoare sau noi perspective despre acest grup. In ansamblu, in ultima vreme, am vazut mai multe valuri de activitati majore provocate de exploatari ale vulnerabilitatilor de tip zero-days. E un semn ca aceste vulnerabilitati continua sa fie cea mai eficienta metoda de infectare a tintelor. Acum, ca ele au fost facute publice, este posibil sa vedem o crestere a utilizarii lor in atacurile demarate de acest grup si de alti actori. Asta inseamna ca este foarte important ca utilizatorii sa descarce cel mai recent patch de la Microsoft cat mai curand posibil”, spune Boris Larin, cercetator principal in securitate in cadrul echipei globale de cercetare si analiza (GReAT).
Produsele Kaspersky detecteaza si protejeaza impotriva exploatarii pentru vulnerabilitatile mentionate si modulele malware asociate.
Aflati mai multe despre aceste noi vulnerabilitati zero-days pe Securelist.
Cum te aperi de hackeri
Pentru a va proteja organizatia impotriva atacurilor care exploateaza vulnerabilitatile mentionate anterior, expertii Kaspersky recomanda:
- Actualizati browser-ul Chrome si Microsoft Windows cat mai curand posibil si faceti acest lucru in mod regulat
- Utilizati o solutie fiabila de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business, care se concentreaza pe prevenirea exploatarilor, detectarea comportamentului neobisnuit si prezinta un motor de remediere care este capabil sa dezamorseze actiunile rau intentionate.
- Instalati solutii anti-APT si EDR, care au capacitatea sa descopere si sa detecteze amenintarile, investigati si remediati la timp incidentele. Oferiti specialistilor dumneavoastra SOC acces la cele mai recente informatii privind amenintarile si perfectionati-i in mod regulat cu stagii pregatire profesionala. Toate cele de mai sus sunt disponibile in unitatea Kaspersky Expert Security.
- Impreuna cu protectia adecvata la nivel endpoint, serviciile dedicate pot ajuta impotriva atacurilor importante. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea si oprirea atacurilor in etapele lor timpurii, inainte ca atacatorii sa isi atinga obiectivele.