Весной 2020 г. «Лаборатория Касперского» предотвратила кибератаку на южнокорейскую компанию, для совершения которой использовалась ранее неизвестная цепочка из двух уязвимостей нулевого дня. Один эксплойт позволял удаленно выполнять код в браузере Internet Explorer 11, а другой — получать привилегии в самых новых версиях Windows 10.

Злоумышленникам было недостаточно эксплойта для Internet Explorer, поскольку этот браузер работает в изолированной среде и не дает нужные им привилегии. Чтобы выполнять произвольный код на зараженном устройстве, атакующие применяли еще один эксплойт — он использовал уязвимость в функции вывода на печать в Windows.

«Если становится известно об атаке, совершаемой с помощью уязвимостей нулевого дня, это всегда вызывает большой переполох в среде разработчиков. Вендор срочно выпускает патч и уведомляет пользователей о необходимости как можно быстрее установить необходимые обновления. Особенность данной атаки заключается в том, что если раньше мы преимущественно находили эксплойты, позволяющие получить дополнительные привилегии в системе, то в данном случае эксплойт давал возможность удаленно выполнять код, что гораздо более опасно. Такое встречается нечасто, и данный инцидент еще раз подтверждает необходимость инвестировать в аналитику угроз и надежные защитные технологии, способные проактивно выявлять новейшие угрозы нулевого дня», — сказал Борис Ларин, эксперт «Лаборатории Касперского».

На основе некоторого сходства нового эксплойта и эксплойтов, замеченных ранее в атаках DarkHotel, эксперты «Лаборатории Касперского» делают осторожные предположения, что ответственность за данную атаку может лежать на этой группе. Подробная информация об индикаторах компрометации, относящихся к этой группе, включая хэши файлов и серверы C2, доступна на портале Kaspersky Threat Intelligence Portal.

Продукты «Лаборатории Касперского» детектируют данные эксплойты вердиктом PDM:Exploit.Win32.Generic.

Патч для уязвимости CVE-2020-0986 был выпущен 9 июня 2020 г., а патч для уязвимости CVE-2020-1380 — 11 августа 2020 г.

Чтобы обезопасить инфраструктуру компании от возможных атак с использованием данных уязвимостей, «Лаборатория Касперского» рекомендует принять следующие меры: как можно скорее установить патчи, выпущенные Microsoft; предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например, к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»; для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response; в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform.



Source link

Write a comment:
*

Your email address will not be published.