Luka dnia zerowego w przeglądarce Internet Explorer

Podobne tematy

Cyberbezpieczeństwo – IBM Spectrum Protect na pierwszej linii frontu

Praktycznie od zawsze bezpieczeństwo było jednym z ważniejszych priorytetów w IT. Jednak ostatnie lata i spektakularne wydarzenia, które odbiły...

Kogo najłatwiej złowić, czyli branże i działy najbardziej podatne na phishing

Użytkownicy, którzy na codzień mają do czynienia z częstą wymianą e-maili są bardziej podatni na cyberzagrożenia i trudno się...

Hakowanie pandemii: nowy film dokumentalny ukazuje wzrost cyberprzestępczości wobec służby zdrowia w obliczu COVID-19

Tomorrow Unlocked, magazyn internetowy firmy Kaspersky poświęcony kulturze technologicznej, zaprezentuje dwuczęściowy film dokumentalny pt. „hacker:HUNTER Ha(ck)cine”, poświęcony atakom na...

Pod koniec kwietnia 2018 r. produkty Kaspersky Lab zaczęły proaktywnie wykrywać u użytkowników nieznanego wcześniej exploita (szkodliwe narzędzie wykorzystujące lukę w zabezpieczeniach do infekcji urządzenia), który — jak okazało się po analizie — wykorzystywał lukę dnia zerowego (CVE-2018-8174) w przeglądarce Internet Explorer. Nowy exploit był aktywnie stosowany w atakach ukierunkowanych.

Z technicznego punktu widzenia szczególnie interesujący jest fakt, że exploit wykorzystujący lukę w Internet Explorerze był pobierany do dokumentu Microsoft Word — jest to pierwszy znany przypadek zastosowania takiej techniki. Warto podkreślić, że atak mógł zostać przeprowadzony nawet wtedy, gdy w programie Microsoft Word zainstalowane były wszystkie dostępne łaty.

Po wykryciu exploita badacze z Kaspersky Lab natychmiast zgłosili lukę firmie Microsoft. Odpowiednia łata została opublikowana 8 maja i jest dostępna na stronie https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174.

Zidentyfikowany exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowego — błąd UAF (ang. Use After Free) polegający na odwoływaniu się przez legalną aplikację (tym przypadku przeglądarkę Internet Explorer) do obszaru pamięci, który został już zwolniony. W większości przypadków takie zachowanie prowadzi do zawieszenia się przeglądarki, jednak w przypadku ataku cyberprzestępca wykorzystuje błąd do przejęcia kontroli nad maszyną ofiary.

Bardziej szczegółowa analiza exploita wykazała, że łańcuch infekcji obejmuje następujące kroki:

  • ofiara otrzymuje szkodliwy dokument w formacie RTF,
  • po otwarciu dokumentu w programie Microsoft Word pobierana jest strona HTML ze szkodliwym kodem,
  • kod ten wywołuje błąd uszkodzenia pamięci (UAF),
  • aktywowane jest polecenie pobierające dalsze szkodliwe moduły.

Jeżeli luka jest obecna, omawiana technika pozwala cyberprzestępcom na wymuszenie uruchomienia Internet Explorera, niezależnie od tego, z jakiej przeglądarki użytkownik korzysta na co dzień. Na szczęście proaktywne wykrycie zagrożenia przez nasze technologie pozwoliło firmie Microsoft na szybkie opracowanie łaty usuwającej lukę. Zalecamy firmom i użytkownikom domowym, by jak najszybciej zainstalowali uaktualnienie opublikowane przez Microsoft, ponieważ cyberprzestępcy zapewne szybko dodadzą omawianego exploita do swoich zestawów szkodliwych narzędzi — powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa, Kaspersky Lab

źródło: Kaspersky Lab

 

- Reklama -

Gorące tematy

- Reklama -
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.