Στις αρχές του 2021, οι ερευνητές της Kaspersky, έπειτα από περαιτέρω ανάλυση του ήδη αναφερθέντος CVE-2021-1732 exploit που χρησιμοποιήθηκε από την ομάδα BITTER APT, κατάφεραν να ανακαλύψουν ακόμα ένα zero-day exploit. Οι ειδικοί δεν μπορούν να συνδέσουν αυτό το exploit με οποιονδήποτε γνωστό απειλητικό φορέα.
Η zero-day ευπάθεια είναι βασικά ένα άγνωστο σφάλμα λογισμικού. Μετά την αναγνώριση και την ανακάλυψη, επιτρέπει στους εισβολείς να πραγματοποιούν κακόβουλες δραστηριότητες χωρίς να γίνονται αντιληπτοί, με αποτέλεσμα απρόσμενες και καταστροφικές συνέπειες.
Κατά την ανάλυση του CVE-2021-1732 exploit, οι ειδικοί της Kaspersky εντόπισαν ακόμα ένα τέτοιο zero-day exploit και το ανέφεραν στη Microsoft τον Φεβρουάριο. Μετά την επιβεβαίωση ότι είναι πράγματι zero-day, έλαβε την ονομασία CVE-2021-28310.
Σύμφωνα με τους ερευνητές, αυτό το exploit χρησιμοποιείται ελεύθερα στο διαδίκτυο, ενδεχομένως από διάφορους απειλητικούς φορείς. Πρόκειται για escalation of privilege (EoP), που βρίσκεται στο Desktop Window Manager, επιτρέποντας στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Είναι πιθανό ότι το exploit χρησιμοποιείται μαζί με άλλα exploits του προγράμματος περιήγησης για να ξεφύγει από το sandbox ή να αποκτήσει δικαιώματα συστήματος για περαιτέρω πρόσβαση.
Η αρχική έρευνα της Kaspersky δεν αποκάλυψε την πλήρη αλυσίδα «μόλυνσης», οπότε δεν είναι ακόμη γνωστό εάν το exploit χρησιμοποιείται με άλλα zero-day ή σε συνδυασμό με γνωστές, διορθωμένες ευπάθειες.
«Το exploit αναγνωρίστηκε αρχικά από την προηγμένη τεχνολογία πρόληψης exploits και τα σχετικά αρχεία ανίχνευσης. Στην πραγματικότητα, τα τελευταία χρόνια, έχουμε δημιουργήσει ένα πλήθος τεχνολογιών προστασίας από exploits στα προϊόντα μας που έχουν εντοπίσει αρκετά zero–day, αποδεικνύοντας ξανά και ξανά την αποτελεσματικότητά τους. Θα συνεχίσουμε να βελτιώνουμε τις άμυνες για τους χρήστες μας, βελτιώνοντας τις τεχνολογίες μας και συνεργαζόμενοι με τρίτους προμηθευτές για την επιδιόρθωση τρωτών σημείων, καθιστώντας το Διαδίκτυο πιο ασφαλές για όλους», σχολιάζει ο Boris Larin, ειδικός ασφαλείας στην Kaspersky.
Περισσότερες πληροφορίες σχετικά με το BITTER APT και τους IOCs διατίθενται στους πελάτες της υπηρεσίας Kaspersky Intelligence Reporting. Επικοινωνία: intelreports@kaspersky.com.
Το patch για την ευπάθεια CVE-2021-28310 κυκλοφόρησε στις 13 Απριλίου 2021.
Για να παραμείνετε ασφαλείς από αυτήν την απειλή, η Kaspersky συνιστά τη λήψη των ακόλουθων μέτρων ασφαλείας:
- Εγκαταστήστε ενημερώσεις κώδικα για τη νέα ευπάθεια το συντομότερο δυνατό. Μετά τη λήψη τους, οι απειλητικοί φορείς δεν μπορούν πλέον να κάνουν κατάχρηση του exploit.
- Οι δυνατότητες διαχείρισης ευπαθειών και patches σε μια λύση προστασίας τερματικού σημείου μπορούν να απλοποιήσουν σημαντικά την εργασία για τους IT security managers.
- Παρέχετε στην ομάδα SOC σας πρόσβαση στις τελευταίες πληροφορίες απειλής (TI). Το Kaspersky Threat Intelligence Portal είναι ένα μοναδικό σημείο πρόσβασης για το TI της εταιρείας, παρέχοντας δεδομένα και πληροφορίες για κυβερνοεπιθέσεις που συγκεντρώθηκαν από την Kaspersky για περισσότερα από 20 χρόνια.
- Εκτός από την υιοθέτηση ουσιαστικής προστασίας τερματικού σημείου, εφαρμόστε μια εταιρική λύση ασφάλειας που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως το Kaspersky Anti Targeted Attack Platform.
Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist