Эксплойты под эти уязвимости работали в тандеме, то есть сначала жертве подсовывали вредоносный скрипт, который исполнялся благодаря дырке в Internet Explorer 11, а затем он повышал привилегии вредоносного процесса уже через недочет в системной службе. В результате злоумышленники могли захватить контроль над системой. Их цель состояла в том, чтобы скомпрометировать компьютеры нескольких сотрудников и попасть во внутреннюю сеть организации.
Наши эксперты дали этой вредоносной кампании имя Operation PowerFall. На данный момент четкой связи между ней и известными группировками не выявлено, однако, судя по схожести эксплойтов, эксперты не исключают причастность DarkHotel .
Когда наши исследователи сообщили Microsoft о своих находках, выяснилось, что о второй уязвимости (в системной службе) они уже знают и даже подготовили патч, однако до тех пор, пока мы не сообщили им о первой (в IE11), считали ее эксплуатацию не очень вероятной.
В чем опасность уязвимости CVE-2020-1380
Уязвимой оказалось библиотека jscript9.dll, которая используется по умолчанию всеми версиями браузера Internet Explorer, начиная с девятой. Иными словами, эксплойт под эту уязвимость опасен для современных версий браузера. Если, конечно, его вообще корректно называть современным — с момента выхода Edge (что произошло одновременно с запуском Windows 10) Microsoft перестала развивать Internet Explorer. Но он все еще установлен по умолчанию в актуальных версиях Windows, и более того — по-прежнему является важной составляющей операционной системы.
Даже если вы его сознательно не используете и он не выставлен как браузер по умолчанию в настройках, это не значит, что вашу систему нельзя заразить при помощи эксплойта для Internet Explorer — некоторые приложения периодически задействуют его в работе. Взять хотя бы пакет офисных приложений Microsoft Office: он использует IE для показа вставленного в документ видео. Также злоумышленники могут вызвать его через какую-нибудь другую уязвимость и проэксплуатировать.
Уязвимость CVE-2020-1380 относится к классу Use-After-Free , то есть связана с некорректным использованием динамической памяти. Подробное техническое описание эксплойта и индикаторы компрометации можно найти в посте Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall на сайте Securelist.
Как защититься?
Компания Microsoft выпустила патч, устраняющий уязвимость CVE-2020-0986 в ядре Windows , еще девятого июня этого года. Вторая уязвимость, CVE-2020-1380, была закрыта 11 августа . Так что если ваша система корректно обновляется, то как минимум от атаки по типу Operation PowerFall ваши системы, скорее всего, уже защищены.
Однако уязвимости нулевого дня находятся достаточно часто. И для того чтобы ваша компания не пострадала от атак с их применением, необходимо использовать решение, в котором реализованы технологии защиты от эксплойтов. Такие, например, как Kaspersky Security для бизнеса . Один из его компонентов, подсистема Exploit Prevention, позволяет выявить попытку эксплуатации уязвимостей нулевого дня.
Кроме того, мы рекомендуем пользоваться современными браузерами, которые регулярно получают обновления безопасности.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
O‘zbekiston va AQSh o‘rtasida muhim minerallar bo‘yicha memorandum imzolandi.
Kelishuvdan ko‘zlangan maqsad mamlakatlar o‘rtasida muhim minerallar sohasidagi hamkorlik aloqalarini yanada mustahkamlashdan iborat..
-
Товарно-сырьевым биржам установили новые требования
До 1 июля 2025 года они должны довести свой уставной капитал до 200 млрд сумов.
-
Faqat migratsiya emas: Olaf Shols bilan nimalar muhokama qilindi?.
Germaniya kansleri Olaf Shols 15-16 sentabr kunlari Samarqandda bo‘lib, keyin Qozog‘istonga jo‘nab ketdi. .
-
Moskva oblastida 2025 yildan boshlab migrantlar mehnati cheklanishi mumkin.
Ularning o‘rnini mahalliy ishchilar yoki YeOII fuqarolari bilan to‘ldirish rejalashtirilmoqda..
-
Футзал, ЖЧ-2024. Ўзбекистоннинг Парагвайга қарши таркиби маълум
Бироздан сўнг футзал бўйича жаҳон чемпионатининг иккинчи тури доирасида футзалчиларимиз Парагвай терма жамоасига қарши баҳс олиб...
-
ОЧЛ. "Пахтакор" – "Ал-Васл". Асосий таркиблар маълум!
Осиё Чемпионлари Лигасининг 1-турида "Пахтакор" БААнинг "Ал-Васл" клубини қабул қилади.