Ziua-0: Atacuri țintite în Windows și Internet Explorer
Reading Time: 2 minuteO vulnerabilitate Ziua-0 este un tip de eroare software necunoscută anterior. Odată descoperită, ea face posibilă desfășurarea în mod discret a unor activități rău intenționate, provocând pagube grave și neașteptate.
În timp ce investigau atacul menționat mai sus, cercetătorii Kaspersky au găsit două vulnerabilități de tip Ziua-0. Prima exploatare, de Internet Explorer, era un Use-After-Free – un tip de vulnerabilitate care poate activa capacități complete de execuție a codului de la distanță. Această exploatare a fost clasificată ca CVE-2020-1380.
Execuție de la distanță
Cu toate acestea, cum Internet Explorer funcționează într-un mediu izolat, atacatorii au avut nevoie de mai multe privilegii asupra mașinii infectate. Acesta este motivul pentru care au avut nevoie de o a doua exploatare, de Windows, care utiliza o vulnerabilitate în serviciul de imprimantă. Aceasta permitea atacatorilor să execute cod arbitrar pe mașina victimei. Această exploatare a privilegiilor (EoP) a fost clasificată ca CVE-2020-0986.
„Când se întâmplă atacuri cu vulnerabilități Ziua-0, este întotdeauna o veste mare pentru comunitatea cibernetică. Detectarea cu succes a unei astfel de vulnerabilități presează imediat producătorii de software să emită un patch și obligă utilizatorii să instaleze toate actualizările necesare. Ceea ce este deosebit de interesant în atacul descoperit este faptul că exploatările anterioare pe care le-am găsit vizau în principal ridicarea privilegiilor. Acest caz include, însă, o exploatare cu funcții de execuție a codului de la distanță, care este mai periculoasă. Împreună cu capacitatea de a afecta cele mai recente ediții de Windows 10, atacul descoperit este cu adevărat un lucru rar în zilele acestea. Ne
reamintește încă o dată să investim în informații privind amenințările și în tehnologii de protecție dovedite, pentru a putea detecta proactiv cele mai recente amenințări Ziua-0 ”, comentează Boris Larin, expert în securitate la Kaspersky.
Patch-uri de vulnerabilitate
Experții Kaspersky nu consideră credibilă informația conform căreia atacul poate fi atribuit DarkHotel, date fiind puținele similitudini între noua exploatare și cele descoperite anterior, care sunt atribuite acestui grup.
Informații detaliate despre Indicatorii de Compromitere legate de acest grup, inclusiv hash-urile de fișiere și serverele C2, pot fi accesate pe Kaspersky Threat Intelligence Portal. Produsele Kaspersky detectează aceste exploatări cu următorul verdict PDM: Exploit.Win32.Generic.
Un patch pentru altitudine de vulnerabilitatea de privilegiu CVE-2020-0986 a fost lansat pe 9 iunie
2020.
Un patch pentru vulnerabilitatea de executare de cod la distanță CVE-2020-1380 a fost lansat pe data
de 11 august 2020.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz
