Wykryto lukę dnia zerowego w przeglądarce Internet Explorer

Pod koniec kwietnia 2018 r. produkty Kaspersky Lab zaczęły proaktywnie wykrywać u użytkowników nieznanego wcześniej exploita (szkodliwe narzędzie wykorzystujące lukę w zabezpieczeniach do infekcji urządzenia), który — jak okazało się po analizie — wykorzystywał lukę dnia zerowego w przeglądarce Internet Explorer. Nowy exploit był aktywnie stosowany w atakach ukierunkowanych.

Exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowego
Exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowegomateriały prasowe

Z technicznego punktu widzenia szczególnie interesujący jest fakt, że exploit wykorzystujący lukę w Internet Explorerze był pobierany do dokumentu Microsoft Word - jest to pierwszy znany przypadek zastosowania takiej techniki. Warto podkreślić, że atak mógł zostać przeprowadzony nawet wtedy, gdy w programie Microsoft Word zainstalowane były wszystkie dostępne łaty.

Po wykryciu exploita badacze z Kaspersky Lab natychmiast zgłosili lukę firmie Microsoft. Odpowiednia łata została opublikowana 8 maja i jest dostępna na stronie https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174.

Zidentyfikowany przez Kaspersky Lab exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowego - błąd UAF (ang. Use After Free) polegający na odwoływaniu się przez legalną aplikację (tym przypadku przeglądarkę Internet Explorer) do obszaru pamięci, który został już zwolniony. W większości przypadków takie zachowanie prowadzi do zawieszenia się przeglądarki, jednak w przypadku ataku cyberprzestępca wykorzystuje błąd do przejęcia kontroli nad maszyną ofiary.

Bardziej szczegółowa analiza exploita wykazała, że łańcuch infekcji obejmuje następujące kroki:

- ofiara otrzymuje szkodliwy dokument w formacie RTF,

- po otwarciu dokumentu w programie Microsoft Word pobierana jest strona HTML ze szkodliwym kodem,

- kod ten wywołuje błąd uszkodzenia pamięci (UAF),

- aktywowane jest polecenie pobierające dalsze szkodliwe moduły.

INTERIA.PL/informacje prasowe
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas