11.06.2021  Новости, Безопасность

По сообщению «Лаборатории Касперского», в апреле ее эксперты обнаружили ряд целевых атак, которые проводились через браузер Chrome с применением ранее неизвестных эксплойтов нулевого дня. Один из них позволял удаленно выполнять код в браузере, а второй, написанный для работы с новейшими и самыми распространенными сборками Windows 10, – повышать привилегии. В настоящий момент уязвимости исправлены, патчи для них были выпущены 8 июня. Эксперты сумели полностью проанализировать код эксплойта, повышающего привилегии в системе, и выяснили, что он эксплуатировал две уязвимости в ядре ОС Microsoft Windows. Первая из них, получившая номер CVE-2021-31955, – это уязвимость раскрытия информации в ntoskrnl.exe. Она связана с функцией SuperFetch, которая направлена на сокращение времени загрузки ПО за счет предварительной загрузки часто используемых приложений в оперативную память. Другая уязвимость, CVE-2021-31956, связана с переполнением буфера кучи в драйвере ntfs.sys. Эксплойт использовал ее вместе с механизмом Windows Notification Facility (WNF) для создания примитива произвольного чтения и записи в память. Помимо эксплойтов в цепочке атаки применяются и другие вредоносные модули. Один из них, стейджер, уведомляет об успешной эксплуатации уязвимости, а также загружает и запускает с удаленного сервера более сложный модуль – дроппер вредоносного ПО. Дроппер используется для установки двух исполняемых файлов, которые маскируются под легитимные файлы ОС Microsoft ... читать далее.