Późną wiosną 2020 r. automatyczne technologie wykrywania firmy Kaspersky udaremniły cyberatak ukierunkowany na południowokoreańską firmę. Dokładna analiza wykazała, że w ataku wykorzystano nieznany wcześniej łańcuch dwóch exploitów wykorzystujących luki dnia zerowego. Pierwszy wykorzystywał podatności w przeglądarce Internet Explorer 11 i umożliwiał zdalne wykonanie kodu, drugi – w systemie Windows i pozwalał na zwiększenie uprawnień szkodliwego programu. Drugi z exploitów atakował najnowsze wersje systemu Windows 10.
Luka dnia zerowego to rodzaj nieznanego wcześniej błędu w oprogramowaniu. Z kolei exploit to szkodliwe narzędzie wykorzystujące taką lukę do infekowania systemów i wykonywania w nich szkodliwych działań. Jeśli luka zostanie wykryta przez cyberprzestępców zanim zostanie załatana przez producenta oprogramowania, umożliwia dyskretne przeprowadzenie szkodliwych działań powodujących poważne i nieoczekiwane szkody.
Analizując wspomniany wyżej atak, badacze z firmy Kaspersky zdołali zidentyfikować dwa exploity wykorzystujące luki dnia zerowego. Pierwszy robi użytek z luki w przeglądarce Internet Explorer i należy do kategorii Use-After-Free. Jest to rodzaj luki, która umożliwia pełne zdalne wykonanie kodu. Luka została sklasyfikowana jako CVE-2020-1380.
Ponieważ jednak Internet Explorer działa w odizolowanym środowisku, atakujący potrzebowali większych uprawnień w zainfekowanej maszynie. Wykorzystano do tego drugą lukę związaną z błędem w obsłudze usługi drukarki w systemie Windows. Pozwala ona na uruchomienie dowolnego kodu na urządzeniu ofiary. Luka została sklasyfikowana jako CVE-2020-0986.
Ataki z wykorzystaniem luk dnia zerowego to zawsze spore wydarzenie dla społeczności związanej z cyberbezpieczeństwem. Wykrycie takiej luki zmusza producentów do szybkiego udostępnienia poprawki, a użytkowników – do zainstalowania wszystkich niezbędnych aktualizacji. Opisywany atak jest szczególnie interesujący, ponieważ o ile wcześniejsze exploity miały na celu głównie zwiększanie uprawnień, w tym przypadku wykorzystano bardziej niebezpieczne narzędzie, które posiada możliwości zdalnego wykonania kodu. W połączeniu z atakowaniem najnowszych kompilacji systemu Windows 10 wykryty atak stanowi obecnie prawdziwą rzadkość. Po raz kolejny przypomina o tym, że aby móc proaktywnie wykrywać najnowsze zagrożenia dnia zerowego, należy inwestować w wiarygodną analizę zagrożeń i sprawdzone technologie bezpieczeństwa – powiedział Borys Larin, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Eksperci z firmy Kaspersky z niskim stopniem pewności przypisują ten atak cybergangowi DarkHotel na podstawie nieznacznych podobieństw między nowym exploitem a wcześniej wykrytymi exploitami powiązanymi z tą grupą.