Pó?n? wiosn? 2020 r. automatyczne technologie wykrywania firmy Kaspersky udaremni?y cyberatak ukierunkowany na po?udniowokorea?sk? firm?. Dok?adna analiza wykaza?a, ?e w ataku wykorzystano nieznany wcze?niej ?a?cuch dwóch exploitów wykorzystuj?cych luki dnia zerowego. Pierwszy wykorzystywa? podatno?ci w przegl?darce Internet Explorer 11 i umo?liwia? zdalne wykonanie kodu, drugi – w systemie Windows i pozwala? na zwi?kszenie uprawnie? szkodliwego programu. Drugi z exploitów atakowa? najnowsze wersje systemu Windows 10.
Luka dnia zerowego to rodzaj nieznanego wcze?niej b??du w oprogramowaniu. Z kolei exploit to szkodliwe narz?dzie wykorzystuj?ce tak? luk? do infekowania systemów i wykonywania w nich szkodliwych dzia?a?. Je?li luka zostanie wykryta przez cyberprzest?pców zanim zostanie za?atana przez producenta oprogramowania, umo?liwia dyskretne przeprowadzenie szkodliwych dzia?a? powoduj?cych powa?ne i nieoczekiwane szkody.
Analizuj?c wspomniany wy?ej atak, badacze z firmy Kaspersky zdo?ali zidentyfikowa? dwa exploity wykorzystuj?ce luki dnia zerowego. Pierwszy robi u?ytek z luki w przegl?darce Internet Explorer i nale?y do kategorii Use-After-Free. Jest to rodzaj luki, która umo?liwia pe?ne zdalne wykonanie kodu. Luka zosta?a sklasyfikowana jako CVE-2020-1380.
Poniewa? jednak Internet Explorer dzia?a w odizolowanym ?rodowisku, atakuj?cy potrzebowali wi?kszych uprawnie? w zainfekowanej maszynie. Wykorzystano do tego drug? luk? zwi?zan? z b??dem w obs?udze us?ugi drukarki w systemie Windows. Pozwala ona na uruchomienie dowolnego kodu na urz?dzeniu ofiary. Luka zosta?a sklasyfikowana jako CVE-2020-0986.
Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla spo?eczno?ci zwi?zanej z cyberbezpiecze?stwem. Wykrycie takiej luki zmusza producentów do szybkiego udost?pnienia poprawki, a u?ytkowników – do zainstalowania wszystkich niezb?dnych aktualizacji. Opisywany atak jest szczególnie interesuj?cy, poniewa? o ile wcze?niejsze exploity mia?y na celu g?ównie zwi?kszanie uprawnie?, w tym przypadku wykorzystano bardziej niebezpieczne narz?dzie, które posiada mo?liwo?ci zdalnego wykonania kodu. W po??czeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziw? rzadko??. Po raz kolejny przypomina o tym, ?e aby móc proaktywnie wykrywa? najnowsze zagro?enia dnia zerowego, nale?y inwestowa? w wiarygodn? analiz? zagro?e? i sprawdzone technologie bezpiecze?stwa – powiedzia? Borys Larin, ekspert ds. cyberbezpiecze?stwa z firmy Kaspersky.
Eksperci z firmy Kaspersky z niskim stopniem pewno?ci przypisuj? ten atak cybergangowi DarkHotel na podstawie nieznacznych podobie?stw mi?dzy nowym exploitem a wcze?niej wykrytymi exploitami powi?zanymi z t? grup?.
