A Kaspersky Lab nulladik-napi sérülékenységet azonosított a Microsoft Internet Explorerben

forrás: Prím Online, 2018. május 11. 13:59

Április végén a Kaspersky Lab termékei proaktívan detektáltak egy korábban nem ismert exploitot, amelyről a cég szakértőinek további elemzése után kiderült, hogy a CVE-2018-8174 egy nulladik napi biztonsági rés az Internet Explorerben. A szakértők szerint célzott támadások során használhatták. 

Érdekesség, hogy ezt az exploitot egy Microsoft Word dokumentumba töltötték le, ez az első alkalom, hogy ilyen módszert használtak. Fontos megjegyezni, hogy a Microsoft Word egy elméletileg teljesen javított verziójánál sikerült az exploitot kihasználni. 

 

Az észlelés után a Kaspersky Lab azonnal jelezte a biztonsági rést a Microsoftnak, a patch május 8-tól elérhető ezen a linken

 

 

Kép forrása: Kaspersky Lab

 

Az exploit egy olyan szoftver, amely más szoftverek hibáit vagy sérülékenységét használja ki azzal a szándékkal, hogy rosszindulatú kóddal fertőzze az áldozatokat. Az exploitok használata széleskörű, kezdve az egyszerű bevételt kereső kiberbűnözőktől a kifinomult nemzetállamok által támogatott, célzott támadásokat kivitelező bűnözői csoportokig. 

 

Ebben a konkrét esetben az azonosított exploit egy nulladik-napi sebezhetőséget kihasználó kártékony kódon alapult – egy tipikus UAF (use-after-free) hiba kiaknázása, amikor egy legitim kód, jelen esetben az Internet Explorer egyik kódja, hibás memóriafeldolgozási logikát tartalmaz. Ez egy szabad memóriával bíró kód-kommunikációt eredményezett. A legtöbbször ez egy egyszerű böngésző crash-t okoz, de az exploit segítségével a támadók átvették a gépek felett a kontrollt. 

 

Az exploit alaposabb elemzése azt mutatta, hogy a fertőzés a következőképp zajlik:

  • Az áldozat rosszindulatú RTF Microsoft Office dokumentumot kap, 
  • A kártékony dokumentum megnyitása után letöltődik az exploit második szakasza – egy rosszindulatú kóddal ellátott HTML oldal, 
  • A kód aktiválja a memória UAF hibáját, 
  • A rosszindulatú kód letölti a shell kódot. 

 

 

Kép forrása: Kaspersky Lab

 

„Ez a módszer kényszerítette az Internet Explorer betöltését, függetlenül attól, hogy milyen böngészőt használunk. Szerencsére a gyors és proaktív észlelés, majd a javítás kiadása jelentősen szűkítette a bűnözők lehetőségeit. Azt javasoljuk a szervezeteknek és a magánfelhasználóknak, hogy azonnal telepítsék a frissítéseket, mielőtt ez az exploit népszerűvé válik és elterjed a használata a kiberbűnözők körében.” – mondta Anton Ivanov, a Kaspersky Lab biztonsági kutatója. 

 

A Kaspersky Lab termékei sikeresen észlelik és blokkolják az exploitot az alábbiak szerint: 

  • HEUR:Exploit.MSOffice.Generic – RTF dokumentum
  • PDM:Exploit.Win32.Generic – IE exploit – észlelés az Automatic Exploit Prevention módszerrel
  • HEUR:Exploit.Script.Generic – IE exploit
  • HEUR:Trojan.Win32.Generic – Payload

 

Bővebb információt ezen a linken olvashat. 

Biztonság ROVAT TOVÁBBI HÍREI

Új támadási módszer: Cloud Snooper vírus

A Sophos, kiberbiztonsági szakértő közzétette legújabb jelentését egy kifinomult támadási módszerről, amely különböző technikák egyedi kombinációjával teszi lehetővé a szerveren lévő vírus számára, hogy a vezérlő szerverekkel kommunikáljon a tűzfalakon keresztül. A jelentés részletezi a támadásban használt taktikákat, technikákat és eljárásokat (TTP-ket). A Sophos úgy véli, hogy a támadó módszer hátterében valamely ország áll, melyet a kémkedés motivált.

2020. február 28. 19:30

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

A Nemzeti Közműszolgáltató nevében indult adathalász támadás

2020. február 25. 13:40

Lezárult a 28. Magyar Innovációs Nagydíj pályázat nevezése

2020. február 24. 11:45

Megjelent az NMHH 2020-as felügyeleti terve

2020. február 18. 10:35

Informatikai szakembereket keres az SAP Labs Hungary

2020. február 14. 10:33
online sportfogadás