Automatizovane tehnologije kompanije Kaspersky za detekciju sprečile su targetirani napad na jednu južnokorejsku kompaniju krajem proleća ove godine. Detaljnija analiza otkrila je da je u ovom napadu korišćen prethodno nepoznat lanac koji je sadržao dva exploita nultog dana: exploit za daljinsko izvršenje koda za Internet Explorer 11 i EoP (elevation of privileges) exploit za Windows. Poslednji je targetirao najnoviju verziju sistema Windows 10.
Ranjivost nultog dana je vrsta prethodno nepoznate softverske greške. Jednom otkriveni, omogućavaju diskretno sprovođenje malicioznih aktivnosti, izazivajući ozbiljnu i neočekivanu štetu. Tokom istraživanja gore pomenutog napada, istraživači kompanije Kaspersky otkrili su dve ranjivosti nultog dana. Prvi exploit za Internet Explorer je Use-After-Free, tip ranjivosti koji može da osigura potpuno daljinsko izvršenje koda. Ovaj exploit je označen kao CVE-2020-1380.
Međutim, kako Internet Explorer radi u izolovanom okruženju, napadačima je potrebno više privilegija na inficiranom uređaju. Zbog toga im je bio potreban drugi exploit, koji je pronađen na Windows-u i koji je koristio ranjivost u printeru. On je omogućio napadačima da izvrše arbitrarni kod na uređaju žrtve. Ovakav EoP exploit označen je kao CVE-2020-0986.
“Kada se dogode ovakvi napadi sa ranjivostima nultog dana to je uvek velika vest među sajberbezbednosnom zajednicom. Uspešna detekcija takvih ranjivosti predstavlja pritisak za vendore da izdaju zakrpu i natera korisnike da instaliraju sve neophodne ispravke. Ono što je posebno zanimljivo u otkrivenim napadima je to što su raniji exploiti koje smo pronašli bili fokusirani uglavnom na dobijanje privilegija. Međutim, ovaj slučaj uključuje i exploit sa mogućnostima daljinskog izvršenja koda koji je još opasniji. Uz mogućnost da utiče na najnovije Windows 10 nadogradnje, otkriveni napad je nešto zaista retko u današnje vreme. Još jednom nas podseća da treba da ulažemo u verodostojne informacije o pretnjama i dokazane tehnologije zaštite kako bismo na vreme detektovali najnovije pretnje nultog dana,” komentariše Boris Larin, stručnjak za bezbednost, Kaspersky.
Stručnjaci kompanije Kaspersky sa niskim nivoom sigurnosti tvrde da iza napada stoji grupa DarkHotel, zasnovano na određenim sličnostima između novog exploita i prethodno otkrivenih exploita koji su pripisani ovom akteru pretnji. Detaljne informacije o Indikatorima kompromisa koji su povezani sa ovom grupom, uključujući haševe i C2 servere, mogu se pronaći na Kaspersky Threat Intelligence Portal.
Proizvodi kompanije Kaspersky detektovali su ove exploite kao PDM:Exploit.Win32.Generic. Zakrpa za EoP ranjivost CVE-2020-0986 objavljena je 9. juna 2020. Zakrpa za ranjivost daljinskog izvršenja koda CVE-2020-1380 objavljena je 11. avgusta 2020.
Kako biste ostali bezbedni, kompanija Kaspersky preporučuje da preduzmete sledeće bezbednosne mere:
-
Instalirajte Microsoft zakrpe za nove ranjivosti što je pre moguće. Čim se obe zakrpe preuzmu akteri pretnji više neće moći da zloupotrebe ranjivost.
-
Obezbedite vašem SOC timu pristup najnovijim informacija o pretnjama. Kaspersky Threat Intelligence Portal je jedinstveno mesto pristupa informacijama o pretnjama, koje pruža podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupljala više od 20 godina.
-
Za zastitu krajnjih tačaka, istraživanje i saniranje incidenata na vreme koristite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
- Osim usvajanja neophodne endpoint zaštite, implementirajte i korporativno bezbednosno rešenje, kao što je Kaspersky Anti Targeted Attack Platform, koje detektuje pretnje na nivou mreže u ranoj fazi.