Хакеры использовали две непропатченных уязвимости Microsoft в атаке на южнокорейскую фирму

Хакеры объединили две уязвимости нулевого дня в Windows 10 и Internet Explorer, чтобы провести цепную атаку на южнокорейскую компанию в начале текущего года. Специалисты утверждают, что раньше не сталкивались с таким сценарием взлома.

Фото: Pixabay

По словам исследователей «Лаборатории Касперского», киберпреступники использовали уязвимость удаленного выполнения кода (RCE) в Internet Explorer 11 вместе с повышением привилегий для последней версии Windows 10 в мае.

Двум уязвимостям, использовавшимся в атаке, были присвоены оригинальные коды — CVE-2020-0986 для уязвимости повышения привилегий Windows 10 и CVE-2020-1380 для уязвимости удаленного выполнения кода в Internet Explorer .

Последний недостаток существует в обработчике сценариев Internet Explorer jscript9.dll и связан с тем, как этот механизм обрабатывает объекты в памяти. Уязвимость может позволить злоумышленнику скомпрометировать систему, когда пользователь переходит на вредоносный сайт или открывает вредоносные файлы.

Хакеры объединили этот недостаток с уязвимостью повышения привилегий Windows 10, чтобы нацелить вредоносное ПО на неизвестную южнокорейскую компанию, как подробно описано в техническом анализе, опубликованном компанией по кибербезопасности. Однако фирме удалось остановить атаку незадолго до того, как хакерызакончили сценарий взлома.

Первоначально об уязвимости Windows 10 было сообщено в Microsoft в декабре 2019 года в рамках инициативы Zero Day Initiative (ZDI) компании Trend Micro, однако никаких действий предпринято не было. По словам представителей «Лаборатории Касперского», уязвимость была впоследствии обнародована 19 мая , через шесть месяцев после раскрытия информации, и на следующий день уязвимость была использована в цепной атаке.

После того, как исследователи «Лаборатории Касперского» сообщили об этой атаке в Microsoft 8 июня, компания сообщила, что уже подготовила патч для CVE-2020-0986, хотя не считает, что использование уязвимости является весьма вероятным. Microsoft применила свой патч 9 июня, через месяц после атаки на южнокорейскую фирму, в то время как исправление для уязвимости Internet Explorer было выпущено только 11 августа.

Исследователи не смогли установить точную связь с какими-либо известными кибербандами, хотя предположили, что за этой атакой могут стоять хакеры, стоящие за кампанией целевого фишинга DarkHotel, из-за сходства с ранее обнаруженными эксплойтами.

Как ранее сообщал Startpack, ранее Citrix выпустила патч для XenMobile после того, как исследователь безопасности из Positive Technologies обнаружил уязвимость.