Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Kaspersky Lab atrod Internet Explorer nulle-dienu ievainojamību

Kaspersky Lab atrod Internet Explorer nulle-dienu ievainojamību

2018. gada aprīļa beigās Kaspersky Lab programmatūra proaktīvi konstatēja iepriekš nezināmu ekspluatējumu (mūķi). Kad uzņēmuma eksperti to izanalizēja, izrādījās, ka tas izmanto līdz šim nezināmu Internet Explorer ievainojamību, kas tagad klasificēta ar numuru CVE-2018-8174. Eksperti uzskata, ka ekspluatējums ticis izmantots mērķuzbrukumos.

 

 

Sevišķi interesanti, ka Internet Explorer ekspluatējums bija lejupielādēts Microsoft Word dokumentā, kas ir pirmais zināmais šāda paņēmiena gadījums. Turklāt jāpiebilst, ka sekmīgi tika izmantota pilnīgi atjaunināta Microsoft Word versija.

Pēc šī atklājuma Kaspersky Lab informēja par ievainojamību Microsoft. No 8. maija ielāps ir pieejams šeit.

Ekspluatējums vai mūķis ir programmatūra, kas izmanto citas programmatūras kļūdu vai ievainojamību, lai inficētu upurus ar ļaunprogrammatūru. Ekspluatējumus plaši izmanto gan peļņas alkstošie kibernoziedznieki, gan izsmalcinātāki valstu atbalstīti izpildītāji ļaunprātīgiem nolūkiem.

Šajā konkrētajā gadījumā identificētā ekspluatējuma pamatā ir ļaunprogrammatūra, kas izmanto tā dēvēto nulle-dienu ievainojamību — tipisku use-after-free (UAF) kļūdu, kad likumīgam izpildāmajam kodam, piemēram, Internet Explorer, ir nepareiza atmiņas apstrādes loģika. Tas izraisa koda saziņu ar atbrīvoto atmiņu. Lielākajā daļā gadījumu tas beidzas ar vienkāršu pārlūka atteici, bet ar ekspluatējumu uzbrucēji izmanto šo kļūdu, lai nodotu datora pārvaldību sev.

Ekspluatējuma dziļāka analīze parādīja, ka inficēšanas ķēde sastāv no šādām darbībām:

  • upuris saņem ļaunprātīgu Microsoft Office RTF dokumentu;
  • pēc ļaunprātīgā dokumenta atvēršanas tiek lejupielādēts ekspluatējuma otrais posms — HTML lapa ar ļaunprogrammatūru;
  • ļaunprogrammatūra aktivizē atmiņas bojājuma UAF kļūdu;
  • tad tiek izpildīts čaulas kods, kas lejupielādē ļaunprātīgo programmu.

Kā stāsta Kaspersky Lab pētnieki, šis paņēmiens līdz izlabošanai ļāva noziedzniekiem piespiest pārlūku Internet Explorer ielādēties neatkarīgi no tā, kurš pārlūks parasti tiek izmantots, vēl vairāk palielinot jau tā milzīgo uzbrukuma potenciālu. Par laimi, apdraudējuma proaktīvā atklāšana ir ļāvusi Microsoft laikus izlaist drošības ielāpu.

 

“Ieteicams nekavējoties uzstādīt pēdējos Microsoft drošības atjauninājumus, jo tie aizver ļoti bīstamu ievainojamību, kas jau tiek izmantota mērķuzbrukumos!

Tweet

 

Mēs aicinām organizācijas un privātos lietotājus nekavējoties instalēt nesen izlaistos Microsoft regulāros ielāpus, jo nepaies ilgs laiks, līdz šīs ievainojamības ekspluatējumi nonāks populāros ekspluatējumu komplektos un tos izmantos ne tikai sarežģītu mērķuzbrukumu izpildītāji, bet arī ierindas kibernoziedznieki.

 

 

Kaspersky Lab drošības programmatūra sekmīgi atklāj un bloķē visus ekspluatēšanas ķēdes posmus un ļaunprogrammatūru ar šādiem verdiktiem:

  • HEUR:Exploit.MSOffice.Generic — RTF dokuments;
  • PDM:Exploit.Win32.Generic — IE ekspluatējums — noteikšana ar Automātisko ekspluatējumu novēršanas tehnoloģiju;
  • HEUR:Exploit.Script.Generic — IE ekspluatējums;
  • HEUR:Trojan.Win32.Generic — ļaunprogrammatūra.

     

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 3

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu