W kwietniu eksperci z firmy Kaspersky wykryli wiele ataków precyzyjnie wycelowanych w liczne firmy. Użyto w nich nieznanego wcześniej łańcucha szkodliwych narzędzi wykorzystujących luki dnia zerowego w przeglądarce Google Chrome i systemie Microsoft Windows. Jedno z tych narzędzi służy do zdalnego wykonywania szkodliwego kodu w przeglądarce, a drugie pozwala na zwiększanie uprawnień w atakowanym systemie. Luki zostały już załatane przez firmę Microsoft.


W ostatnich miesiącach miała miejsce fala aktywności obejmującej zaawansowane zagrożenia wykorzystujące luki dnia zerowego. W połowie kwietnia eksperci z firmy Kaspersky odkryli kolejną partię wysoce ukierunkowanych ataków na liczne firmy z wykorzystaniem exploitów, które pozwoliły atakującym ukradkowo zainfekować atakowane sieci. Firma Kaspersky nie powiązała jeszcze tych ataków z żadnymi znanymi ugrupowaniami cyberprzestępczymi, a sprawcy są określani jako „PuzzleMaker”.

 

Wszystkie ataki zostały przeprowadzone za pośrednictwem przeglądarki Chrome i wykorzystywały exploita umożliwiającego zdalne wykonanie kodu. Chociaż badacze z firmy Kaspersky nie byli w stanie dotrzeć do kodu exploita, porządek chronologiczny — jak również dostępność — sugerują, że atakujący wykorzystywali załataną już lukę CVE-2021-21224. Była ona związana z błędem niezgodności typów w silniku JavaScript wykorzystywanym przez przeglądarki Chrome i Chromium.

 

Eksperci z firmy Kaspersky zdołali znaleźć i przeanalizować drugi exploit: narzędzie umożliwiające podniesienie uprawnień, które wykorzystuje dwie różne luki w jądrze Microsoft Windows OS. Pierwsza z nich to luka powodująca wyciek wrażliwych informacji dotyczących jądra systemu, której nadano kod CVE-2021-31955. Luka ta jest związana z funkcją wstępnego ładowania do pamięci, która po raz pierwszy została wprowadzona do systemu Windows Vista w celu skrócenia czasu uruchamiania oprogramowania.

 

Druga luka – podnosząca uprawnienia w systemie – otrzymała nazwę CVE-2021-31956. Atakujący wykorzystali ją wraz z systemem powiadomień systemu Windows w celu m.in. uruchamiania modułów szkodliwego oprogramowania z uprawnieniami systemu.

 

Po wykorzystaniu exploitów dla Chrome’a i Windowsa w celu przedostania się do atakowanego systemu szkodnik pobiera ze zdalnego serwera kolejny moduł. Jest on odpowiedziany za pobranie i zainstalowanie dwóch plików wykonywalnych, które podszywają się pod legalne moduły systemu Windows. Jeden z nich potrafi pobierać i przesyłać pliki, tworzyć procesy, pozostawać w uśpieniu przez pewien czas oraz usuwać się z zainfekowanego systemu.

 

Firma Microsoft opublikowała już poprawkę na obie luki w systemie Windows w ramach tzw. poprawkowego wtorku.

 

Publikacja: Sebastian Kubiak
Śledź nas na Google News: https://news.google.com/publications/CAAqBwgKMLGzlQswgperAw?hl=pl&gl=PL&ceid=PL%3Apl

Dodaj komentarz

Publikowane komentarze są prywatnymi opiniami użytkowników portalu Klapka.pl. Redakcja portalu Klapka.pl nie ponosi odpowiedzialności za ich treść.

Kod antyspamowy Odśwież

­