Sākumlapa » Apdraudējumi » Operācija PowerFall: divas nulles dienas ievainojamības

Operācija PowerFall: divas nulles dienas ievainojamības

Nesen Kaspersky tehnoloģijas palīdzēja novērst uzbrukumu kādai Dienvidkorejas kompānijai. Jūs varat nodomāt, ka tā ir ikdienišķa lieta, tomēr, analizējot kibernoziedznieku izmantotos līdzekļus, uzņēmuma eksperti atklāja veselas divas nulles dienas ievainojamības. Pirmo no tām viņi atklāja Internet Explorer 11 JavaScript dzinī. Šī ievainojamība ļāva uzbrucējiem attālināti izpildīt noteiktu kodu. Otrā ievainojamība, atklāta operētājsistēmas servisā, ļāva uzbrucējiem paaugstināt savas pilnvaras un veikt neatļautas darbības. Ja jūs domājat, ka Internet Explorer neizmantošana jūs pasargā, tad jūs ļoti maldāties! Kāpēc? Lasiet tālāk!

 

 

Ekspluatējumi augstāk minētajām ievainojamībām darbojās pārī. Vispirms upurim tika piesūtīts ļaundabīgs kods, kuru izpildīt atļāva Internet Explorer 11 ievainojamība, bet pēc tam kļūda sistēmas servisā paplašināja ļaundabīgā procesa pilnvaras. Tā rezultātā uzbrucēji guva iespēju pārņemt sistēmas kontroli. Viņu mērķis bija pārņemt vairāku darbinieku datorus un iekļūt organizācijas iekšējā tīklā.

Kaspersky eksperti nosaukuši šo ļaunprātīgo kampaņu par Operation PowerFall. Uz šo brīdi pētnieki nav atklājuši šīs kampaņas saistību ar kādu no zināmajiem kibernoziedzniekiem. Tomēr, spriežot pēc ekspluatējumu līdzības, nav izslēgts, ka kampaņā iesaistīts grupējums DarkHotel.

Kad Kaspersky pētnieki par saviem atklājumiem informēja Microsoft, kompānijas pārstāvis pastāstīja, ka par otro ievainojamību (sistēmas servisā) viņi ir informēti un tās novēršanai jau sagatavots ielāps. Savukārt līdz brīdim, kad pētnieki par to informēja, viņi pirmās ievainojamības (CVE-2020-1380, IE11) izmantošanu uzskatīja par maz iespējamu.

 

Kā izpaužas CVE-2020-1380 bīstamība?

Pirmā ievainojamība atrodas bibliotēkā jscript9.dll, kuru visas Internet Explorer versijas, sākot ar IE9, izmanto pēc noklusējuma. Citiem vārdiem sakot — ekspluatējums šai ievainojamībai ir bīstams visām modernajām pārlūka versijām. (Termins “modernās” gan nav gluži atbilstošs, jo pēc Edge parādīšanās sistēmā Windows 10 Microsoft pārtrauca modernizēt Internet Explorer). Tomēr, līdztekus Edge, pēc noklusējuma jaunākajās Windows versijās tiek instalēts arī Internet Explorer un tas saglabājas kā svarīga sistēmas sastāvdaļa.

Pat tad, ja jūs tiešā veidā neizmantojiet IE un tas nav jūsu pārlūks pēc noklusējuma, jūsu sistēma var tikt inficēta caur IE ekspluatējumu, jo dažas lietojumprogrammas laiku pa laikam izmanto šo pārlūku. Ņemsim, piemēram, Microsoft Office: tā izmanto IE, lai parādītu dokumentos iekļautos videomateriālus. Kibernoziedznieki var atvērt un izmantot Internet Explorer arī ar citu ievainojamību palīdzību.

CVE-2020-1380 pieder pie Use-After-Free klases — ievainojamība izmanto nepareizu dinamiskās atmiņas pielietošanu. Jūs varat iepazīties ar ekspluatējuma detalizētu tehnisko aprakstu un inficēšanās pazīmēm aprakstā “Internet Explorer and Windows zero-day exploits used in Operation PowerFall” Securelist interneta lapā.

 

Kā sevi pasargāt

Microsoft izlaida CVE-2020-0986 ielāpu (Windows kodolā) 2020. gada 9. jūnijā. Otrā ievainojamība, CVE-2020-1380, tika novērsta 11.augustā tā saucamās ielāpu otrdienas (Patch Tuesday) ietvaros (lasiet “No 120 šomēnes aizlāpītajām ievainojamībām divas nulles dienas Microsoft programmatūras ievainojamības tiek izmantotas uzbrukumos“). Ja jūs regulāri atjauniniet savas operētājsistēmas, tām jau jābūt aizsargātām pret Operation PowerFall un līdzīgiem uzbrukumiem.

Tomēr nulles dienas ievainojamības visu laiku parādās no jauna. Lai garantētu sava uzņēmuma drošību, jums jāizmanto risinājums ar antiekspluatējumu tehnoloģiju, kam ir pierādīta augsta efektivitāte, piemēram, Kaspersky Endpoint Security for Business. Viena no tā sastāvdaļām — Exploit Prevention apakšsistēma — efektīvi identificē mēģinājumus izmantot nulles dienas ievainojamības.

Papildus tam Kaspersky eksperti rekomendē izmantot modernus pārlūkus, kuri regulāri saņem drošības atjauninājumus.

Izmantoti Kaspersky materiāli.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

23 − 13 =

Uz augšu