Forskere siger, at nul-dages sårbarheder, der er rettet i Microsofts nylige Patch Tuesday-runde, er blevet brugt i målrettede angreb mod virksomheden.
Ifølge Kaspersky blev der sporet en bølge af “stærkt målrettede angreb” på flere organisationer, der udnyttede en kæde af nul-dages udnyttelse i Google Chrome-browseren og Microsoft Windows-systemer i løbet af 14. og 15. april 2021.
Angriberne er blevet udnævnt PuzzleMaker. Den første udnyttelse i kæden ser ud til at være CVE-2021-21224, en V8-type forvirringssårbarhed i Google Chrome-browseren før 90.0.4430.85.
Google udstedte en patch til den alvorlige fejl den 20. april, som, hvis de blev udnyttet, tillod fjernangribere at udføre vilkårlig kode inde i en sandkasse via en udformet HTML-side.
Sandkasser, efter design, er beregnet til udviklermiljøer, test og beskyttelse og så adskille aktiviteter væk fra et hovedsystem. For at en udnyttelseskæde kan fungere, er en sandkasseudslip et nødvendigt næste skridt.
Ifølge forskerne blev denne flugt fundet i to Windows 10-sårbarheder – begge er nul-dags bugs, der blev patched i Microsofts seneste opdatering af Patch Tuesday.
Den første, CVE-2021-31955, er en sårbarhed i Windows Kernel-informationsoplysning i filen ntoskrnl.exe, der bruges til at udsætte adresserne på kernen til Eprocess-strukturen til udførte processer. Det andet, CVE-2021-31956, er en sårbarhed i heap-bufferoverløb i Windows NTFS-driveren, der kan udnyttes til eskalering af privilegier.
Kaspersky siger, at sårbarhederne, når de lænkes sammen, gjorde det muligt for angriberen at undslippe sandkassen og udføre ondsindet kode på en målmaskine.
Malware implementeres derefter, som inkluderer stager-, dropper-, service- og remote shell-moduler. Det første modul vil først kontrollere, at udnyttelsen var en succes, og i så fald vil det gribe droppermodulet fra en C2-server (Command-and-Control) til udførelse.
To eksekverbare filer lander derefter på målmaskinen, der udgør som legitime Windows-filer. Den første er registreret som en tjeneste og bruges til at starte den anden eksekverbare, der indeholder eksterne shell-funktioner.
Denne nyttelast er i stand til at downloade og exfiltrere filer samt oprette systemprocesser. Malwaren er også i stand til at sætte sig i søvn i en periode eller selvdestruere.
Det anbefales, at organisationer opretholder hyppige opdateringsplaner og anvender relevante rettelser – mere hvis bugs udnyttes aktivt. Som vi så med hændelsen Microsoft Exchange Server i marts, vil angribere hurtigt springe over sikkerhedsproblemer, så snart de er offentligt kendte.
Tidligere og relateret dækning
Necro Python-bot fornyet med ny VMWare, serverudnyttelse
Et dybt dykke ned i Nefilim, en ransomwaregruppe med øje for $ 1 mia. indtægtsselskaber
Siloscape: denne nye malware retter sig mod Windows-containere for at få adgang til Kubernetes-klynger
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 