Kaspersky Lab: luka dnia zerowego w systemie Windows była wykorzystywana przez FruityArmor
Po opublikowaniu przez Microsoft łaty dla luki w oprogramowaniu eksperci z Kaspersky Lab mogą wyjaśnić, w jaki sposób wykryta przez nich we wrześniu luka dnia zerowego w systemie Windows była wykorzystywana przez ugrupowanie cyberprzestępcze FruityArmor do przeprowadzania ataków ukierunkowanych.
Członkowie FruityArmor wykorzystywali lukę CVE-2016-3393, aby uzyskać większe przywileje na maszynach ofiar i zdalnie wykonać swój szkodliwy kod. CVE-2016-3393 jest czwartą luką dnia zerowego, jaka została wykryta w tym roku przez nowe technologie Kaspersky Lab służące do identyfikacji i blokowania tego typu podatności w systemach i aplikacjach.
Po przeniknięciu do atakowanej maszyny wspomniane ugrupowanie cyberprzestępcze zwykle wykorzystuje złośliwy kod angażujący lukę w zabezpieczeniach przeglądarki internetowej, aby rozpocząć swoją szkodliwą aktywność. Jednak zważywszy na to, że wiele przeglądarek wykorzystuje tzw. technologię piaskownicy (ang. sandbox) – funkcję wykorzystywaną do izolowania i bezpiecznego uruchamiania nowych aplikacji – tego typu szkodliwy kod rzadko wystarczy, aby zapewnić atakującym dostęp, jakiego potrzebują. Dlatego FruityArmor uzupełnił swój arsenał o narzędzie umożliwiające zwiększenie uprawnień w zainfekowanym systemie z użyciem luki CVE-2016-3393.
Po skutecznej instalacji szkodliwego kodu następuje wykonanie kolejnej funkcji z przywilejami wyższego poziomu, co umożliwia komunikowanie się z serwerem kontrolowanym przez cyberprzestępców. Szkodliwe oprogramowanie jest tym samym gotowe do otrzymania dalszych poleceń i pobrania dodatkowych modułów.
„Chociaż cyberprzestępcy coraz częściej wykorzystują niestandardowe szkodliwe oprogramowanie, luki dnia zerowego nadal stanowią pożądaną zdobycz dla grup stosujących ataki ukierunkowane. Zapotrzebowanie na takie luki prawdopodobnie nie zmniejszy się w najbliższym czasie, dlatego badacze zajmujący się bezpieczeństwem muszą nadal ich szukać, technologie ochrony muszą być w stanie je wykrywać, a twórcy oprogramowania szybko dostarczać poprawki. Wspólnie odpowiadamy za ochronę użytkowników” – powiedział Anton Iwanow, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący lukę CVE-2016-3393 jako:
· HEUR:Exploit.Win32.Generic,
· PDM:Exploit.Win32.Generic.
Szczegóły techniczne dotyczące wykorzystania przez atakujących luki CVE-2016-3393 są dostępne na stronie https://kas.pr/b4bH.
Dalsze informacje na temat ugrupowania cyberprzestępczego FruityArmor są dostępne dla klientów usługi Kaspersky Intelligence Services.
Pozostałe trzy luki dnia zerowego wykryte przez Kaspersky Lab w 2016 r. to błędy w zabezpieczeniach aplikacji Adobe Flash CVE-2016-1010 oraz CVE-2016-4171, a także luka dla systemu Windows — CVE-2016-0165.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.