Kaspersky Internet Explorer е оштетен

Автор: Богдан Бишок/Датум на објавување: 10-05-2018 12:05

kaspersky

На крајот на април 2018 година, производите на Kaspersky Lab проактивно детектираа досега непознато експлоатација, што, откако беше анализирано од експертите на компанијата, се покажа дека користеше ранливост на нулта ден CVE-2018-8174 за Internet Explorer. Според експертите, тој бил користен во насочени напади.

Интересно, експлоатацијата на Internet Explorer е преземена во документ на Microsoft Word, што е прв познат случај на таква техника. Исто така вреди да се напомене дека може да се користи ажурирана верзија на Microsoft Word.

Во времето на откритието, лабораторијата „Касперски“ ја известила ранливоста на „Мајкрософт“.

Експлоатација е вид на програма што ја искористи ранливоста или грешка во друга програма за заразување жртви. Експлоатациите ги користат и компјутерските криминалци кои сакаат да заработат пари и групите спонзорирани од државата.

Во овој случај, идентификуваната експлоатација се заснова на опасен код што ја искористува ранливоста на нулта ден - типична бубачка UAF (користете после бесплатно), кога легитимен извршен код, каков што е оној за Internet Explorer, применува неточна логика обработка на меморија. Ова ја испраќа пораката дека меморијата е ослободена. Ако во повеќето случаи, резултатот е едноставно блокирање на прелистувачот, со помош на експлоатација, напаѓачите ја користат грешката за да ја преземат контролата врз уредот.

Понатамошна анализа на експлоатациите покажа дека процесот на инфекција ги вклучува следниве чекори:
• Theртвата го прима опасниот документ Microsoft Office RTF;
• По отворањето на документот, се презема втората фаза од експлоатацијата - HTML страница со код за малициозен софтвер;
• Кодот ја активира бубачката за оштетување на меморијата UAF;
• Шек-кодот што ги презема опасните предмети потоа се извршува.

„До поправањето, оваа техника им дозволуваше на криминалците да го принудат Интернет Експлорер да се вчита, без оглед на тоа каков прелистувач се користел нормално, со што се зголемила областа на нападот, која веќе беше огромна. За среќа, проактивното откривање на заканата доведе до навремено ослободување на безбедносната лепенка од Microsoft. Препорачуваме организациите и индивидуалните корисници да ги инсталираат најновите закрпи веднаш, бидејќи нема да потрае долго за експлоатациите за оваа ранливост да бидат вклучени во експлоатирачки комплети и да се користат не само од софистицирани автори, туку и обични компјутерски криминалци “, вели Антон Иванов, истражувач за безбедност, лабораторија„ Касперски “.