Sākumlapa » Apdraudējumi » MysterySnail iezogas caur nulles dienas ievainojamību

MysterySnail iezogas caur nulles dienas ievainojamību

Šī gada vasaras beigās – rudens sākumā Kaspersky uzvedības noteikšanas dzinis (Behavioral Detection Engine) un ekspluatējumu novēršanas (Exploit Prevention) tehnoloģija, kas tiek izmantota daudzos uzņēmuma produktos, atklāja Win32k kodola draivera ievainojamības izmantošanu. Pateicoties tam, uzņēmuma ekspertam izdevās identificēt un izmeklēt visu uzbrucēju darbību. Analīze parādīja, ka šī ievainojamība (tagad zināma ar numuru CVE-2021-40449) nebija iepriekš aprakstīta, tāpēc Kaspersky par to noziņoja kompānijai Microsoft, un sistēmas izstrādātāji to izlaboja regulārā atjauninājumā, kas tika izlaists šī gada 12. oktobrī. Tāpēc (kā tas parasti notiek pēc katra mēneša otrās otrdienas) mēs iesakām pēc iespējas ātrāk atjaunināt Microsoft Windows.

Kas ir ievainojamība CVE-2021-40449 un kādam nolūkam tā tika izmantota

CVE-2021-40449 ir use-after-free klases ievainojamība Win32k draivera funkcijā NtGdiResetDC. Detalizēts tehniskais apraksts ir atrodams vietnē Securelist, un, ja pavisam īsi, tad tā noved pie kodola moduļu adrešu noplūdes datora atmiņā. Rezultātā uzbrucēji to izmanto, lai paaugstinātu cita ļaunprātīga procesa tiesības.

Izmantojot tiesību piesavināšanos (privilege escalation), uzbrucēji lejupielādēja un palaida ļaunprogrammatūru MysterySnail, kas pieder attālās piekļuves Trojas zirga (RAT) klasei. Tas uzbrucējiem nodrošina piekļuvi upura sistēmai.

Ko dara MysterySnail

Pirmkārt, Trojas zirgs savāc informāciju par inficēto sistēmu un nosūta to komandu un kontroles (C&C) serverim. Pēc tam, izmantojot MysterySnail, uzbrucēji var izpildīt vairākas komandas: piemēram, izveidot, lasīt vai dzēst noteiktu failu, izveidot vai dzēst procesu, lejupielādēt direktoriju sarakstu, atvērt starpniekservera kanālu un nosūtīt datus caur to.

Turklāt tajā ir realizētas diezgan interesantas funkcijas. Tātad, tas ne tikai zina, kā apskatīt pievienoto disku sarakstu, bet var arī fonā uzraudzīt ārējo disku pievienošanu. Turklāt Trojas zirgs var palaist interaktīvo čaulu cmd.exe, vispirms nokopējot pašu failu cmd.exe pagaidu mapē ar citu nosaukumu.

Kam uzbruka caur ievainojamību CVE-2021-40449

Šīs ievainojamības ekspluatējums atbalsta vairākas Microsoft Windows saimes operētājsistēmas: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (būvējums 14393), Server 2016 (būvējums) 14393), 10 (būvējums 17763) un Server 2019 (būvējums 17763). Pēc Kaspersky ekspertu domām, ekspluatējums ticis radīts speciāli, lai piesavinātos tiesības operētājsistēmas serveru versijās.

Pēc sākotnējās draudu atklāšanas uzņēmuma eksperti noskaidroja, ka ekspluatējums un sistēmā ielādētā ļaunprogrammatūra MysterySnail tiek plaši izmantotas spiegošanas operācijās pret IT uzņēmumiem, diplomātiskajām organizācijām un uzņēmumiem, kas strādā aizsardzības nozarē.

Pateicoties Kaspersky Threat Attribution Engine izmantošanai, ekspertiem izdevās atrast vairākas koda un funkcionalitātes līdzības starp MysterySnail un IronHusky uzbrucēju grupas izmantoto ļaunprogrammatūru. Turklāt dažas komandu un kontroles (C&C) serveru adreses jau 2012. gadā tika izmantotas šīs ķīniešu valodu izmantojošās APT grupas uzbrukumos.

Plašāka informācija par uzbrukumu, kā arī detalizēts ekspluatējuma apraksts un kompromitēšanas indikatori ir atrodami vietnē Securelist.

Kā aizsargāties

Pirmais solis ir instalēt jaunākos Microsoft izlaistos ielāpus. Un, lai nākotnē neciestu no citām nulles dienas ievainojamībām, iesakām visos datoros ar piekļuvi internetam instalēt uzticamus drošības risinājumus, kas var proaktīvi identificēt draudus un apturēt ievainojamību izmantošanu.

CVE-2021-40449 tika atklāts ar uzvedības noteikšanas dzini un ekspluatējumu novēršanas tehnoloģiju, kas ir daļa no vairuma Kaspersky risinājumu, tostarp Kaspersky Endpoint Security for Business.

Izmantoti Kaspersky materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 7 = 1

Uz augšu