Експерти Касперського виявили вразливості в останніх версіях Windows 10 і

Автор: Богдан Унгуряну/Дата публікації: 13-08-2020 14:08

виявили

Наприкінці весни технології автоматичного виявлення Касперського запобігли цілеспрямованому нападу на південнокорейську компанію. При детальному розгляді виявляється, що ця атака використовувала раніше невідомий набір із двох експлойтів Day-0: один для віддаленого виконання коду для Internet Explorer 11 і один для привілеїв (EoP) для Windows. Остання націлена на останні версії Windows 10.

Вразливість Day-0 - це тип помилок програмного забезпечення, раніше невідомих. Після виявлення це дає змогу непомітно здійснювати зловмисні дії, завдаючи серйозних і несподіваних збитків.

Досліджуючи згадану атаку, дослідники Касперського виявили дві уразливості Day-0. Першим експлойтом Internet Explorer був Use-After-Free - тип вразливості, який може забезпечити повне віддалене виконання коду. Ця операція була класифікована як CVE-2020-1380.

Однак, оскільки Internet Explorer працює в ізольованому середовищі, зловмисникам потрібно було більше привілеїв над зараженою машиною. Ось чому їм потрібна була друга операція, Windows, яка використовувала вразливість у службі принтера. Це дозволило зловмисникам виконати довільний код на машині жертви. Ця експлуатація привілеїв (EoP) була класифікована як CVE-2020-0986.

"Коли трапляються атаки з уразливістю Day-0, це завжди чудова новина для кібер-спільноти. Успішне виявлення такої вразливості негайно тисне на постачальників програмного забезпечення для випуску виправлення та змушує користувачів встановлювати всі необхідні оновлення. Особливо цікавим у виявленій атаці є те, що попередні експлуатації, які ми виявили, були в основному спрямовані на скасування привілеїв. Однак цей випадок включає операцію з функціями віддаленого виконання коду, що є більш небезпечним. Поряд із можливістю впливати на останні випуски Windows 10, виявлена ​​атака справді рідкісна річ у наші дні. Це ще раз нагадує нам інвестувати в інформацію про загрози та перевірені технології захисту, щоб попередньо виявляти останні загрози День-0 ", коментує Борис Ларін, експерт з безпеки Kaspersky.

Експерти Касперського не вважають достовірною інформацію про те, що атаку можна віднести до DarkHotel, враховуючи нечисленні подібності між новою операцією та раніше виявленими, які відносяться до цієї групи.

Детальну інформацію про показники зобов’язань цієї групи, включаючи хеші файлів та сервери C2, можна отримати за адресою Портал розвідки Касперського.

Продукти Касперського виявляють ці подвиги за допомогою наступного вироку PDM: Exploit.Win32.Generic.

Висотний патч вразливості привілеїв CVE-2020-0986 був звільнений 9 червня 2020 року.

Виправлення для вразливості віддаленого виконання коду CVE-2020-1380 звільнений 11 серпня 2020 року.

Щоб захиститись від цієї загрози, Касперський рекомендує такі заходи безпеки:

  • Встановіть виправлення Microsoft для нових уразливостей якомога швидше. Після завантаження обох виправлень зловмисники більше не можуть використовувати уразливість.
  • Надайте своїй команді з кібербезпеки (SOC) доступ до найновішої інформації про загрози (ІТ). Портал розвідки Касперського є унікальною точкою доступу до інформації про загрози компаніям, що надає дані про кібератаки та інформацію, зібрану Касперським понад 20 років.
  • Для виявлення рівня захисту кінцевих точок, своєчасного розслідування та вирішення інцидентів, впровадження рішень EDR, таких як Виявлення та відповідь кінцевої точки Касперського.
  • Окрім прийняття основного захисту кінцевих точок, впроваджуйте якісне рішення корпоративної безпеки, яке з самого початку виявляє розширені мережеві загрози, наприклад Платформа для цільової атаки Касперського.

Детальніше про нові операції дивіться у повному звіті Захищений список.

Для того, щоб отримати більш детальну картину технологій, які виявили цю та інші вразливості Day-0 у Microsoft Windows, Касперський записав вебінар який надається за запитом.