Nasze technologie zapobiegły niedawno atakowi na firmę w Korei Południowej. Analizując narzędzia cyberprzestępców, eksperci z firmy Kaspersky natrafili na dwie luki dnia zerowego. Pierwsza znajdowała się w silniku JavaScript przeglądarki Internet Explorer 11. Dzięki niej atakujący mogli zdalnie wykonać dowolny kod. Druga znajdowała się w usłudze systemu operacyjnego i umożliwiała atakującym zwiększenie uprawnień i wykonywanie nieautoryzowanych działań.
Exploity dla tych luk działały w tandemie. Najpierw na urządzeniu ofiary umieszczano szkodliwy skrypt, który można było uruchomić dzięki luce w Internet Explorerze 11; następnie luka w usłudze systemowej zwiększała uprawnienia szkodliwego procesu. W efekcie atakujący byli w stanie przejąć kontrolę nad systemem. Ich celem było zhakowanie komputerów różnych pracowników i przeniknięcie do sieci wewnętrznej organizacji.
Szkodliwa kampania została nazwana przez naszych ekspertów Operation PowerFall. Na tę chwilę badacze nie wykryli żadnych twardych dowodów na związek między tą kampanią a znanymi ugrupowaniami cyberprzestępczymi. Jednak sądząc po podobieństwie exploitów, nie wykluczają zaangażowania ugrupowania DarkHotel.
Gdy nasi eksperci poinformowali firmę Microsoft o swoich odkryciach, przyznała ona, że już wie o drugiej luce (w usłudze systemowej) i ma przygotowaną dla niej łatę. Jeśli jednak chodzi o pierwszą lukę, do momentu poinformowania przez nas (w IE11) uważano, że użycie jej jest mało prawdopodobne.
Jakie zagrożenie stwarza luka CVE-2020-1380?
Pierwsza luka znajduje się w bibliotece jscript9.dll, której domyślnie używają wszystkie wersje przeglądarki Internet Explorer, począwszy od IE9. Oznacza to, że exploit dla tej luki stwarza zagrożenie dla współczesnych wersji wspomnianej przeglądarki. Słowo „współczesnych” to dość naciągane określenie, biorąc pod uwagę, że Microsoft przestał rozwijać Internet Explorer po udostępnieniu przeglądarki Edge w systemie Windows 10. Jednak wraz z przeglądarką Edge nadal instalowany jest domyślnie Internet Explorer i pozostaje istotnym elementem systemu operacyjnego.
Nawet jeśli ktoś nie używa IE i nie jest to jego przeglądarka domyślna, nie oznacza to, że system nie może zostać zainfekowany exploitem dla tej przeglądarki — niektóre aplikacje używają jej od czasu do czasu; na przykład Microsoft Office do wyświetlania treści wideo w dokumentach. Cyberprzestępcy mogą również używać Internet Explorera poprzez inne luki.
CVE-2020-1380 należy do klasy luk Use-After-Free, które wykorzystują niepoprawne użycie pamięci dynamicznej. Szczegółowy opis techniczny tego exploita wraz z oznakami włamania znajdują się w poście „Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall” opublikowanym w serwisie Securelist.
Jak zapewnić sobie bezpieczeństwo
Firma Microsoft udostępniła łatę CVE-2020-0986 (w jądrze systemu Windows) 9 czerwca 2020 r. Druga luka, CVE-2020-1380, została załatana 11 sierpnia. Jeśli regularnie aktualizujesz swój system operacyjny, prawdopodobnie masz już ochronę przed atakami typu Operation PowerFall.
Jednak luki dnia zerowego co jakiś czas się pojawiają. Aby zadbać o bezpieczeństwo firmy, musisz używać rozwiązania zawierającego technologie chroniące przed exploitami, np. Kaspersky Security for Business. Jeden z jego składników, podsystem Exploit Prevention, rozpoznaje próby wykorzystania luk dnia zerowego.
Ponadto zalecamy używanie przeglądarek, które regularnie otrzymują uaktualnienia.