Атаките на PuzzleMaker използват уязвимости на Windows нулев ден, Chrome

Изследователите казват, че уязвимостите с нулев ден, фиксирани в последния кръг на Microsoft Patch във вторник, са били използвани при насочени атаки срещу предприятието.

Според до Kaspersky, беше проследена вълна от “силно насочени атаки” срещу няколко организации, които използваха верига от нулеви експлойти в браузъра Google Chrome и системите Microsoft Windows през 14 и 15 април 2021 г.

Нападателите са наречени PuzzleMaker. Първият експлойт във веригата, макар и да не е потвърден, изглежда CVE-2021-21224, уязвимост от объркване тип V8 в браузъра Google Chrome преди 90.0.4430.85.

Google издаде кръпка за тежък недостатък на 20 април, което, ако бъде експлоатирано, позволи на отдалечените нападатели да изпълняват произволен код в пясъчника чрез създадена HTML страница.

Пясъчните кутии по дизайн са предназначени за среди за разработчици, тестове и защита и така отделят дейностите далеч от основната система. За да работи експлойт веригата, бягството от пясъчник би било необходимата следваща стъпка.

Според изследователите това бягство е открито в две уязвимости на Windows 10 – и двете са грешки от нулев ден, които са закърпени в последната актуализация на Microsoft Patch във вторник.

Първият, CVE-2021-31955, е уязвимост за разкриване на информация за ядрото на Windows във файла ntoskrnl.exe, използвана за разкриване на адресите на ядрото на структурата на Eprocess за изпълнени процеси. Секундата, CVE-2021-31956, е уязвимост от препълване на буфер от купчина в драйвера на Windows NTFS, която може да бъде използвана за повишаване на привилегиите.

Kaspersky казва, че когато са свързани във вериги, уязвимостите са позволили на атакуващия да избяга от пясъчника и да изпълни злонамерен код на целевата машина.

След това се използва злонамерен софтуер, който включва модули за стагер, капкомер, услуга и отдалечени черупки. Първият модул първо ще провери дали експлоатацията е била успешна и ако е така, ще вземе капковия модул от сървъра за управление и управление (C2) за изпълнение.

След това два изпълними файла се приземяват на целевата машина, която се маскира като легитимни Windows файлове. Първият е регистриран като услуга и се използва за стартиране на втория изпълним файл, който съдържа възможности за отдалечена обвивка.

Този полезен товар е в състояние да изтегля и дефилтрира файлове, както и да създава системни процеси. Злонамереният софтуер може също да се приспи за известно време или да се самоунищожи.

Препоръчително е организациите да поддържат чести графици за корекции и да прилагат съответни корекции – още повече, ако грешките се експлоатират активно. Както видяхме с инцидента с Microsoft Exchange Server през март, атакуващите бързо ще прескочат проблемите със сигурността, щом са публично известни.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com