Početkom 2021. godine, istraživači kompanije Kaspersky su, nakon dodatne analize već prijavljene CVE-2021-1732 eksploatacije za koju je bila odgovorna BITTER APT grupa, otkrili još jednu eksploataciju nultog dana. Stručnjaci do sada nisu uspeli da povežu ovu eksploataciju sa nekim poznatim akterom pretnji.
Ranjivost nultog dana je praktično nepoznati bag u softveru. Nakon njegove identifikacije i otkrivanja, on napadačima omogućava da sprovode maliciozne aktivnosti iz senke, što dovodi do neočekivanih i destruktivnih posledica.
Tokom analize CVE-2021-1732 eksploatacije, stručnjaci kompanije Kaspersky su pronašli još jednu takvu eksploataciju nultog dana i prijavili je kompaniji Microsoft u februaru. Nakon potvrde da se zaista radi o nultom danu, eksploatacija je dobila naziv CVE-2021-28310.
Prema istraživačima, eksploatacija se koristi “u divljini”, najverovatnije od strane nekoliko aktera pretnji. Ona predstavlja eskalaciju privilegija (escalation of privilege – EoP), koja je pronađena na Desktop Window Manager-u, i napadačima omogućava izvršavanje arbitrarnog koda na uređaju žrtve.
Eksploatacija se najverovatnije koristi zajedno sa ostalim eksploatacijama pretraživača kako bi izbegla sandboxes ili prikupila sistemske privilegije za dalji pristup.
Početna istraga kompanie Kaspersky nije otkrila celokupan lanac inficiranja, tako da još uvek nije poznato da li se eksploatacija koristi u kombinaciji sa nekim drugim nultim danom ili sa poznatim, već saniranim ranjivostima.
“Eksploataciju je inicijalno identifikovala naša napredna tehnologija za prevenciju eksploatacije i sa njom povezana evidencija o detekciji. Tokom prethodnih par godina smo mnoštvo tehnologija za zaštitu od eksploatacije ugradili u naše proizvode koji su otkrili nekoliko nultih dana, dokazujući tako svoju efikasnost iznova i iznova. Nastavićemo da radimo na poboljšanju odbrane za naše korisnike kroz unapređenje naših tehnologija i rad sa nezavisnim dobavljačima u cilju krpljenja ranjivosti, i tako učiniti internet bezbednijim za sve,” komentariše Boris Larin, stručnjak za bezbednost u kompaniji Kaspersky.
Više informacija o BITTER APT grupi i indikatorima o kompromitovanju (indicators of compromise – IOC) su dostupne korisnicima Kaspersky Intelligence Reporting servisa. Kontaktirajte: intelreports@kaspersky.com..
Zakrpa za ranjivost elevacije privilegije CVE-2021-28310 je objavljena 13. aprila 2021. godine.
Proizvodi kompanije Kaspersky su otkrili ovu eksploataciju uz sledeće zaključke:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Da biste sačuvali svoju bezbednost od ovih pretnji, kompanija Kaspersky predlaže preduzimanje sledećih bezbednosnih mera:
- Instalirajte zakrpe za nove ranjivosti što je pre moguće. jednom kada ih preuzmete akteri pretnji ne mogu više da zloupotrebljavaju ranjivosti.
Opcije za upravljanje ranjivostima i zakrpama koje su dostupne u okviru rešenja za zaštitu krajnjih tačaka mogu značajno da pojednostave posao IT bezbednosnih menadžera.
- Svom SOC timu obezbedite pristup najnovijim podacima o pretnjama (threat intelligence – TI). Kaspersky Threat Intelligence Portal predstavlja jedinstvenu tačku pristupa svim informacijama o pretnjama, podacima o sajber napadima i uvidima koje je kompanija Kaspersky prikupljala više od 20 godina.
- Pored usvajanja neophodne zaštite krajnjih tačaka, implementirajre bezbednosno rešenje na korporativnom nivou koje detektuje napredne pretnje na nivou mreže u početnoj fazi, kao što je Kaspersky Anti Targeted Attack Platform.