Хакеры использовали две непропатченных уязвимости Microsoft в атаке на южнокорейскую фирму
Фото: Pixabay
По словам исследователей «Лаборатории Касперского», киберпреступники использовали уязвимость удаленного выполнения кода (RCE) в Internet Explorer 11 вместе с повышением привилегий для последней версии Windows 10 в мае.
Двум уязвимостям, использовавшимся в атаке, были присвоены оригинальные коды — CVE-2020-0986 для уязвимости повышения привилегий Windows 10 и CVE-2020-1380 для уязвимости удаленного выполнения кода в Internet Explorer .
Последний недостаток существует в обработчике сценариев Internet Explorer jscript9.dll и связан с тем, как этот механизм обрабатывает объекты в памяти. Уязвимость может позволить злоумышленнику скомпрометировать систему, когда пользователь переходит на вредоносный сайт или открывает вредоносные файлы.
Хакеры объединили этот недостаток с уязвимостью повышения привилегий Windows 10, чтобы нацелить вредоносное ПО на неизвестную южнокорейскую компанию, как подробно описано в техническом анализе, опубликованном компанией по кибербезопасности. Однако фирме удалось остановить атаку незадолго до того, как хакерызакончили сценарий взлома.
Первоначально об уязвимости Windows 10 было сообщено в Microsoft в декабре 2019 года в рамках инициативы Zero Day Initiative (ZDI) компании Trend Micro, однако никаких действий предпринято не было. По словам представителей «Лаборатории Касперского», уязвимость была впоследствии обнародована 19 мая , через шесть месяцев после раскрытия информации, и на следующий день уязвимость была использована в цепной атаке.
После того, как исследователи «Лаборатории Касперского» сообщили об этой атаке в Microsoft 8 июня, компания сообщила, что уже подготовила патч для CVE-2020-0986, хотя не считает, что использование уязвимости является весьма вероятным. Microsoft применила свой патч 9 июня, через месяц после атаки на южнокорейскую фирму, в то время как исправление для уязвимости Internet Explorer было выпущено только 11 августа.
Исследователи не смогли установить точную связь с какими-либо известными кибербандами, хотя предположили, что за этой атакой могут стоять хакеры, стоящие за кампанией целевого фишинга DarkHotel, из-за сходства с ранее обнаруженными эксплойтами.
Как ранее сообщал Startpack, ранее Citrix выпустила патч для XenMobile после того, как исследователь безопасности из Positive Technologies обнаружил уязвимость.
Комментариев пока не было