logo KASPERSKY LAB CZECH REPUBLIC

Cílené zero-day útoky na Windows a Chrome prohlížeče

V polovině dubna 2021 experti Kaspersky odhalili novou sérii přesně cílených útoků na různé společnosti, po nichž útočníci získali skrytý přístup k napadeným sítím. Nyní se snaží odhalit spojení mezi těmito útoky a jejich původce - ti zatím dostali společné kódové jméno PuzzleMaker.

Všechny útoky byly vedeny prostřednictvím prohlížeče Chrome a útočníci při nich využili škodlivý kód spuštěný na dálku. Odborníci společnosti Kaspersky nedokázali tento kód izolovat, ale časový průběh útoků naznačuje, že útočníci napadli dnes už opravenou zranitelnost CVE-2021-21224.

Ta souvisela s chybou Type Mismatch v enginu V8 pro JavaScript, který používá Chrome i příbuzný prohlížeč Chromium. Útočníci tak mohli napadnout proces zvaný renderer, který řídí činnost v otevřených panelech prohlížeče.

Aktualizujte co nejdříve Windows i Chrome

Experti společnosti Kaspersky nicméně dokázali najít a analyzovat druhý útok, který využil tzv. elevation of privilege neboli zranitelnost navýšením práv - jde o útok na dvě konkrétní bezpečnostní zranitelnosti jádra Microsoft Windows.

První z nich je zranitelnost odhalením informací (Information Disclosure vulnerability, tedy chyba, jejíž vinou získají útočníci důležité informace o jádru) s kódovým označením CVE-2021-31955. Zranitelnost konkrétně souvisí s funkcí SuperFetch, kterou výrobci poprvé použili v systému Windows Vista a jejímž účelem je zkrácení načítání softwaru předběžným načtením běžně používaných informací do paměti.

Ve druhém případě se jednalo o samotnou Elevation of Privilege čili zranitelnost navýšením práv (ta umožňuje útočníkům napadnout jádro a získat vyšší práva přístupu do počítače). Ta má kódové označení CVE-2021-31956. Útočníci ji napadli společně s funkcí Windows Notification Facility (WNF) kvůli instalaci malwarových modulů se systémovými právy.

Když útočníci napadením Chrome i Windows získají přístup k systému, instalovaný modul stáhne a spustí složitější malwarový program ze vzdáleného serveru. Ten pak do systému nainstaluje dva spustitelné soubory, které se tváří jako legitimní součást Windows.

Druhý z nich je vzdálený shell modul, který dokáže stahovat a uploadovat soubory, vytvářet procesy, na nějakou dobu usnout a pak se sám z napadeného systému smazat.

Microsoft již obě zranitelnosti opravil pomocí bezpečnostní záplaty.

"Tyto útoky byly přesně cílené, ale zatím jsme nedokázali odhalit útočníky. Proto pro ně používáme společné kódové jméno PuzzleMaker a nadále pečlivě monitorujeme bezpečnostní situaci, aby nám případné další aktivity této skupiny neunikly. V poslední době jsme zaznamenali několik vln vysokoprofilových zero-day útoků. Je to pro nás připomínka, že právě zero-day útoky patří k nejefektivnějším typům napadení. Nyní jsou zranitelnosti veřejně známé a je možné, že útoky na ně zesílí, ať už za nimi bude stát tato skupina nebo jiní útočníci. Proto je velmi důležité, aby si uživatelé co nejrychleji stáhli a nainstalovali nejnovější záplaty od Microsoftu," říká Boris Larin, bezpečnostní expert týmu Global Research and Analysis Team (GReAT) společnosti Kaspersky.

Produkty společnosti Kaspersky dovedou útoky na výše uvedené zranitelnosti odhalit a bránit jim. Chrání i před malwarovými moduly, které se při útocích používají.

Jak předcházet útokům na výše uvedené zranitelnosti:

Článek KASPERSKY LAB CZECH REPUBLIC ze dne 15. června 2021 - úterý

Další články od KASPERSKY LAB CZECH REPUBLIC

Jak na ochranu organizace před APT a jinými pokročilými útoky

Nové možnosti hlasovacího systému Polys

Messengery jsou nejvíce zneužívány phishingovými podvodníky

Kyberstalking a doxing na online seznamkách

Budoucnost kybernetické bezpečnosti propojených IoT systémů

Placené stáže v programu SafeBoard od Kaspersky

Mapa ochrany osobních údajů evropských zemí

Bezpečnější VPN připojení s podporou Kill Switch pro iOS

Nový správce hesel Kaspersky Password Manager

Jak zaměstnanci řeší aktualizace firemních zařízení

Cílené zero-day útoky na Windows a Chrome prohlížeče

Podvodné herní doplňky pro Minecraft kradou hesla k účtům na sociálních sítích

YouTube určuje zájmové trendy dětí na internetu

Modifikovaný miner krade kryptoměny z napadených zařízení

Výzva inovačního programu iHub Kaspersky

Aktualizace softwaru jako výmluva zaměstnanců

Je nezbytné vybudovat jednotný mechanismu mezinárodní reakce na globální kybernetické útoky

Situace v oblasti DDoS útoků se stabilizuje

Přístup uživatelů k aktualizacím softwaru jejich zařízení

Ekosystém ransomware jako promyšlený vyděračský průmysl

Rootkit dokáže mít pod kontrolou celou napadenou síť

Školení IT bezpečnosti zaměstnanců online

Bezplatný on-line kurz prevence proti doxingu

I bez aktualizací a bezpečnostních záplat Windows 7 stále žijí

Ransomware útoky cílí na lukrativní cíle

Víte co je to doxing a jak se proti němu bránit?

Ransomware REvil útočí na zařízení Apple

Zero-day zranitelnost u Desktop Windows Managera

Kaspersky Endpoint Security Cloud s funkcemi EDR

Ochrana dat a osobních údajů je pro uživatele klíčová

Bankovní malware v roce 2020

Počet uživatelů ochotných zaplatit výkupné za obnovu dat roste

Únik osobních dat z účtů na Facebooku

Jak předcházet doxing útokům na firmu

Jak bezpečně používat webovou kameru

Roste počet útoků na protokoly pro vzdálený přístup

Kyborgové v Evropě - chceme to?

Váš Google Chrome naléhavě vyžaduje aktualizaci

Jak chránit Microsoft Exchange Server před zero-day útoky

Ransomware Quoter ohrožuje na dopravní firmy a finanční instituce

Kybernetické útoky na Magistrát hl. m. Prahy a MPSV

Pozor na vakcíny proti COVID-19 z Darknetu

Vývoj stalkerwaru v pandemickém roce 2020

Skupina Lazarus se nově soustředí na obranný průmysl

Jak na řízení týmů zaměřených na kyberbezpečnost

Pozor na falešné aplikace v souvislosti s Clubhouse

Těžba kryptoměn stojí za poklesem DDoS útoků

Projekt DeStalk vyhlašuje boj stalkerwaru

Jen mazat data z vyřazovaných zařízení nestačí

Zachránce a investor - dva hlavní modely napadení bankovního účtu