Forskare säger att nolldagars sårbarheter som fixats i Microsofts senaste Patch Tuesday-omgång har använts i riktade attacker mot företaget.
Enligt Kaspersky spårades en våg av “mycket riktade attacker” mot flera organisationer som använde en kedja av nolldagars exploateringar i webbläsaren Google Chrome och Microsoft Windows-system under den 14 och 15 april 2021.
Angriparna har fått namnet PuzzleMaker. Även om det första utnyttjandet i kedjan inte bekräftas verkar det vara CVE-2021-21224, en förvirringssårbarhet av V8-typen i webbläsaren Google Chrome före 90.0.4430.85.
Google utfärdade en korrigering för den allvarliga bristen den 20 april, som om den utnyttjades tillät fjärrangripare att köra godtycklig kod inuti en sandlåda via en utformad HTML-sida.
Sandlådor, efter design, är avsedda för utvecklarmiljöer, tester och skydd, och så separerar aktiviteter bort från ett huvudsystem. För att en exploateringskedja ska fungera skulle en sandlådesflykt vara ett nödvändigt nästa steg.
Enligt forskarna hittades denna flykt i två Windows 10-sårbarheter – båda är nolldagarsfel som patchades i Microsofts senaste uppdatering av Patch Tuesday.
Den första, CVE-2021-31955, är en sårbarhet för avslöjande av Windows-kärnan i filen ntoskrnl.exe, som används för att exponera adresserna till Eprocess-strukturens kärna för körda processer. Den andra, CVE-2021-31956, är en heap-buffertöverskridande sårbarhet i Windows NTFS-drivrutin som kan utnyttjas för eskalering av privilegier.
Kaspersky säger att sårbarheterna tillåts angriparen att fly från sandlådan och köra skadlig kod på en målmaskin när den var kedjad ihop.
Skadlig programvara distribueras sedan som inkluderar stager, dropper, service och fjärrskalmoduler. Den första modulen kommer först att kontrollera att exploateringen lyckades, och i så fall kommer den att ta droppmodulen från en C2-server (Command-and-Control) för körning.
Två körbara filer landar sedan på målmaskinen som maskeras som legitima Windows-filer. Den första registreras som en tjänst och används för att starta den andra körbara filen, som innehåller fjärrskalfunktioner.
Denna nyttolast kan ladda ner och exfiltrera filer samt skapa systemprocesser. Skadlig kod kan också sätta sig i viloläge en tid eller självförstöra.
Det rekommenderas att organisationer håller frekventa korrigeringsscheman och tillämpar relevanta korrigeringar – mer om buggar utnyttjas aktivt. Som vi såg med Microsoft Exchange Server-incidenten i mars kommer angripare snabbt att hoppa på säkerhetsfrågor så snart de är allmänt kända.
Tidigare och relaterad täckning
Necro Python-bot förnyad med ny VMWare, serverutnyttjande
En djupdykning i Nefilim, en ransomwaregrupp med ett öga för 1 miljard dollar + intäktsföretag
Siloscape: den här nya skadliga programvaran riktar sig till Windows-behållare för att få åtkomst till Kubernetes-kluster
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 