piątek, 29 marca, 2024

Nasze serwisy:

Więcej

    Kaspersky Lab wykrył lukę dnia zerowego w przeglądarce Internet Explorer

    Zobacz również

    Pod koniec kwietnia 2018 r. produkty Kaspersky Lab zaczęły proaktywnie wykrywać u użytkowników nieznanego wcześniej exploita (szkodliwe narzędzie wykorzystujące lukę w zabezpieczeniach do infekcji urządzenia). Jak okazało się po analizie, exploit ten wykorzystywał lukę dnia zerowego (CVE-2018-8174) w przeglądarce Internet Explorer i był aktywnie stosowany w atakach ukierunkowanych.

    - Reklama -

     Z technicznego punktu widzenia szczególnie interesujący jest fakt, że exploit wykorzystujący lukę w Internet Explorerze był pobierany do dokumentu Microsoft Word — jest to pierwszy znany przypadek zastosowania takiej techniki. Warto podkreślić, że atak mógł zostać przeprowadzony nawet wtedy, gdy w programie Microsoft Word zainstalowane były wszystkie dostępne łaty.

    Po wykryciu exploita badacze z Kaspersky Lab natychmiast zgłosili lukę firmie Microsoft. Odpowiednia łata została opublikowana 8 maja i jest dostępna na stronie https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174.

    Zidentyfikowany przez Kaspersky Lab exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowego — błąd UAF (ang. Use After Free) polegający na odwoływaniu się przez legalną aplikację (tym przypadku przeglądarkę Internet Explorer) do obszaru pamięci, który został już zwolniony. W większości przypadków takie zachowanie prowadzi do zawieszenia się przeglądarki, jednak w przypadku ataku cyberprzestępca wykorzystuje błąd do przejęcia kontroli nad maszyną ofiary.

    Bardziej szczegółowa analiza exploita wykazała, że łańcuch infekcji obejmuje następujące kroki:

    • ofiara otrzymuje szkodliwy dokument w formacie RTF,
    • po otwarciu dokumentu w programie Microsoft Word pobierana jest strona HTML ze szkodliwym kodem,
    • kod ten wywołuje błąd uszkodzenia pamięci (UAF),
    • aktywowane jest polecenie pobierające dalsze szkodliwe moduły.

    – Jeżeli luka jest obecna, omawiana technika pozwala cyberprzestępcom na wymuszenie uruchomienia Internet Explorera, niezależnie od tego, z jakiej przeglądarki użytkownik korzysta na co dzień. Na szczęście proaktywne wykrycie zagrożenia przez nasze technologie pozwoliło firmie Microsoft na szybkie opracowanie łaty usuwającej lukę. Zalecamy firmom i użytkownikom domowym, by jak najszybciej zainstalowali uaktualnienie opublikowane przez Microsoft, ponieważ cyberprzestępcy zapewne szybko dodadzą omawianego exploita do swoich zestawów szkodliwych narzędzi — powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

    Produkty Kaspersky Lab wykrywają i blokują wszystkie etapy działania omawianego ataku z następującymi werdyktami:

    •     HEUR:Exploit.MSOffice.Generic — szkodliwy dokument RTF,
    •     PDM:Exploit.Win32.Generic — exploit Internet Explorera wykrywany przez technologię „Automatyczne zapobieganie exploitom” wbudowaną w rozwiązania Kaspersky Lab,
    •     HEUR:Exploit.Script.Generic – exploit Internet Explorera wykrywany przez technologie heurystyczne wbudowane w rozwiązania Kaspersky Lab,
    •     HEUR:Trojan.Win32.Generic — dalszy szkodliwy kod pobierany w ramach ataku.
    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OVHcloud poszerza portfolio chmury publicznej o usługę Managed Rancher Service

    OVHcloud, europejski lider w dziedzinie chmury, podczas konferencji KubeCon Europe 2024 ogłosiła wprowadzenie nowych usług do rosnącej oferty chmury...