零日漏洞:針對多家公司的高度針對性攻擊
今年 4 月,卡巴斯基專家發現了一系列針對多家公司的高度針對性攻擊,這些攻擊利用以前未發現的 Chrome 和 Microsoft Windows 零日漏洞攻擊鏈。
其中一個漏洞利用程序用于在Chrome瀏覽器中進行遠程代碼執行,另一個則是針對最新以及最常見Windows 10版本進行了微調的權限提升漏洞。后者利用了微軟Windows操作系統內核中的兩個漏洞:信息泄露漏洞CVE-2021-31955和權限提升漏洞CVE-2021-31956。作為 “補丁星期二 ”的一部分,微軟今天已經對這兩個漏洞進行了修補。
最近幾個月,在野外出現了一波利用零日漏洞進行的高級威脅活動。4月中旬,卡巴斯基專家發現了一波新的針對多家公司的高度針對性的漏洞利用攻擊,而且這些攻擊能夠讓攻擊者隱蔽地入侵目標網絡。
卡巴斯基還未發現這些攻擊與任何已知威脅行為者之間的關聯。因此,他們將這個威脅行為者稱為PuzzleMaker。
所有攻擊都是通過Chrome進行的,并利用了一個允許遠程執行代碼的漏洞。雖然卡巴斯基研究人員無法獲取到遠程執行漏洞的代碼,但從時間軸和可用性來看,攻擊者使用的應該是現在已經被修復的CVE-2021-21224漏洞。此漏洞與 V8 中的類型不匹配錯誤有關 -V8是 Chrome 和 Chromium瀏覽器使用的 一個JavaScript 引擎。該漏洞允許攻擊者利用Chrome的渲染進程(負責用戶標簽卡內發生的進程)。
但是,卡巴斯基專家還是發現了分析了第二個漏洞利用程序:一個權限提升漏洞利用,利用了微軟Windows操作系統內核中兩個不同的漏洞。第一個漏洞為信息泄露漏洞(一種會泄露敏感內核信息的漏洞),其漏洞編號為CVE-2021-31955。具體來說,該漏洞與 SuperFetch 相關——SuperFetch是在Windows Vista中首次引入的功能,旨在通過將常用的應用程序預裝到內存中來減少軟件的加載時間。
第二個漏洞是一種權限提升漏洞(允許攻擊者利用內核并獲得對計算機的高等級訪問的漏洞)——該漏洞的編號為CVE-2021-31956,是一個基于堆的緩沖區溢出。攻擊者利用CVE-2021-31956漏洞與Windows通知設施(WNF)一起創建任意內存讀/寫原語,并以系統權限執行惡意軟件模塊。
一旦攻擊者使用Chrome和Windows漏洞利用程序在目標系統中駐扎后,階段攻擊模塊就會從遠程服務器下載并執行一個更復雜的惡意軟件釋放器。釋放器會安裝兩個可執行文件,并將其偽裝成Windows操作系統的合法文件。這兩個可執行文件中的第二個是遠程 shell 模塊,它能夠下載和上傳文件、創建進程、休眠一定時間以及從受感染的系統中刪除自身。
作為補丁星期二的一部分,微軟今天發布了針對這兩個 Windows 漏洞的補丁。
“雖然這些攻擊具有高度的針對性,但我們還未將其與任何已知威脅行為者聯系起來。因此,我們將這些攻擊幕后的行為者稱為“PuzzleMaker”,并密切關注安全領域的未來活動或關于這個團體的新見解。整體來看,最近我們發現好幾波由零日漏洞驅動的高調的威脅活動。這提醒我們,零日漏洞仍然是感染目標的最有效方法。現在,這些漏洞已經被公開,我們有可能看到這些漏洞在這個和其他威脅者的攻擊中的使用增加。這意味著對用戶來說,盡早從微軟下載最新的補丁非常重要,”卡巴斯基全球研究和分析團隊(GReAT)高級安全研究員Boris Larin評論說。
卡巴斯基產品能夠檢測和保護上述漏洞被利用,同時也能攔截相關惡意軟件模塊。
為了保護您的企業和組織不受利用上述漏洞的攻擊危害,卡巴斯基專家建議:
及時更新您的Chrome瀏覽器和微軟Windows系統,并定期進行更新。
使用一款可靠的端點安全解決方案,例如卡巴斯基網絡安全解決方案。該解決方案具有漏洞預防、行為檢測和修復引擎的功能,能夠回滾惡意行為。
安裝反APT和EDR解決方案,啟用威脅發現和檢測功能以及事件調查和及時修復功能。為您的SOC團隊提供最新的威脅情報,并定期為他們提供專業培訓。上述所有服務均可通過卡巴斯基專家安全框架獲取。
除了適當的端點保護之外,專用服務也可以幫助防御高調的攻擊。卡巴斯基管理檢測和響應服務能夠幫助在攻擊者實現其目標之前,在早期階段識別和阻止攻擊。
關于卡巴斯基
卡巴斯基是一家成立于1997年的全球網絡安全和數字隱私公司。卡巴斯基不斷將深度威脅情報和安全技術轉化成最新的安全解決方案和服務,為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合,包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務,全面抵御復雜的和不斷演化的數字威脅。全球有超過4億用戶使用卡巴斯基技術保護自己,我們還幫助全球240,000家企業客戶保護最重要的東西。
