Securitate — May 10, 2018 at 6:51 am

Vulnerabilitate de tip zero-day pentru Internet Explorer

by

IELa sfârșitul lunii aprilie 2018, produsele Kaspersky Lab au detectat proactiv un exploit necunoscut până în acel moment, care, după ce a fost analizat de experții companiei, s-a dovedit că folosea o vulnerabilitate zero-day CVE-2018-8174 pentru Internet Explorer. Potrivit experților, aceasta a fost folosită în atacuri direcționate.  

Interesant este că exploit-ul Internet Explorer a fost descărcat într-un document Microsoft Word, acesta fiind primul caz cunoscut al unei astfel de tehnici. De asemenea, este demn de remarcat că a putut fi utilizată o variantă la zi de Microsoft Word. 

În momentul descoperirii, Kaspersky Lab a raportat vulnerabilitatea către Microsoft. Patch-ul este disponibil aici, începând cu 8 mai. 

Un exploit este un tip de program care profită de o vulnerabilitate sau de un bug dintr-un alt program pentru a infecta victimele. Exploit-urile sunt folosite atât de infractorii cibernetici care vor să obțină bani, cât și de grupările sponsorizate de către state.  

În acest caz, exploit-ul identificat este bazat pe un cod periculos care exploatează vulnerabilitatea zero-day – un bug tipic UAF (use-after-free), atunci când un cod executabil legitim, precum cel pentru Internet Explorer, aplică o logică incorectă de procesare a memoriei. Acest lucru transmite mesajul că a fost eliberată memorie. Dacă în cele mai multe cazuri, rezultatul este o simplă blocare a browser-ului, cu ajutorul exploit-ului, atacatorii folosesc bug-ul pentru a prelua controlul asupra dispozitivului. 

O analiză suplimentară a exploit-urilor a arătat că procesul de infectare include următorii pași:

·       Victima primește documentul periculos Microsoft Office RTF;

·       După deschiderea documentului, a doua etapă a exploit-ului este descărcată – o pagină HTML cu cod malware;

·        Codul declanșează bug-ul UAF de afectare a memoriei;

·        Codul shell care descarcă elementele periculoase este apoi executat.

Produsele Kaspersky Lab detectează și blochează toate etapele procesului de infectare, cu următoarele verdicte:

–         HEUR:Exploit.MSOffice.Generic – document RTF

–          PDM:Exploit.Win32.Generic  – exploit IE – detecție cu Automatic Exploit Prevention technology

–          HEUR:Exploit.Script.Generic – exploit IE

–          HEUR:Trojan.Win32.Generic – Payload