Forskere sier null-dagers sårbarheter som er løst i Microsofts nylige Patch Tuesday-runde, har blitt brukt i målrettede angrep mot bedriften.
Ifølge Kaspersky ble det sporet en bølge av “sterkt målrettede angrep” på flere organisasjoner som benyttet en kjede av null-dagers utnyttelse i Google Chrome-nettleseren og Microsoft Windows-systemene 14. og 15. april 2021.
Angriperne har blitt kalt PuzzleMaker. Den første utnyttelsen i kjeden ser ut til å være CVE-2021-21224, et V8-type forvirringssårbarhet i Google Chrome-nettleseren før 90.0.4430.85.
Google utstedte en oppdatering for den alvorlige feilen den 20. april, som, hvis den ble utnyttet, tillot fjernangripere å utføre vilkårlig kode i en sandkasse via en utformet HTML-side.
Sandkasser, etter design, er ment for utviklermiljøer, tester og beskyttelse, og så adskille aktiviteter vekk fra et hovedsystem. For at en utnyttelseskjede skal fungere, vil en sandkasse-flukt være et nødvendig neste trinn.
I følge forskerne ble denne flukten funnet i to Windows 10-sårbarheter – begge er null-dagers bugs som ble lappet i Microsofts siste oppdatering av Patch Tuesday.
Den første, CVE-2021-31955, er et sikkerhetsproblem i Windows Kernel-informasjon i filen ntoskrnl.exe, som brukes til å avsløre adressene til Eprocess-strukturkjernen for utførte prosesser. Den andre, CVE-2021-31956, er et sikkerhetsproblem med overløp i heapbuffer i Windows NTFS-driveren som kan utnyttes for eskalering av privilegier.
Kaspersky sier at når de ble lenket sammen, lot sårbarheten angriperen unnslippe sandkassen og utføre ondsinnet kode på en målmaskin.
Malware blir deretter distribuert som inkluderer stager, dropper, service og eksterne skallmoduler. Den første modulen vil først sjekke at utnyttelse var en suksess, og i så fall vil den hente droppermodulen fra en kommando-og-kontroll-server (C2) for utføring.
To kjørbare lander deretter på målmaskinen som utgir seg for å være legitime Windows-filer. Den første er registrert som en tjeneste og brukes til å starte den andre kjørbare filen, som inneholder eksterne skallfunksjoner.
Denne nyttelasten kan laste ned og exfiltrere filer, samt lage systemprosesser. Skadelig programvare er også i stand til å sette seg i dvale en periode eller selvdestruere.
Det anbefales at organisasjoner holder hyppige oppdateringsplaner og bruker relevante reparasjoner – mer hvis feil blir aktivt utnyttet. Som vi så med Microsoft Exchange Server-hendelsen i mars, vil angripere raskt hoppe på sikkerhetsspørsmål så snart de er offentlig kjent.
Tidligere og beslektet dekning
Necro Python-bot fornyet med ny VMWare, serverutnyttelse
Et dypdykk i Nefilim, en ransomwaregruppe med øye for $ 1 milliard inntektsselskaper
Siloscape: denne nye skadelige programvaren retter seg mot Windows-containere for å få tilgang til Kubernetes-klynger
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 