DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Hacker khai thác lỗ hổng 0-day trong Chrome và Windows
Các nhà nghiên cứu bảo mật của Kaspersky đã phát hiện kẻ tấn công với tên gọi PuzzleMaker đã sử dụng một chuỗi các lỗ hổng zero-day của Google Chrome và Windows 10 trong các cuộc tấn công có mục tiêu cao chống lại nhiều công ty trên toàn thế giới.
Theo Kaspersky, các cuộc tấn công do PuzzleMaker phát động lần đầu tiên được phát hiện vào giữa tháng 4 khi những nạn nhân đầu tiên bị tin tặc khai thác được phát hiện.
Tin tặc sử dụng lỗ hổng zero-day trong trình duyệt Chrome tồn tại trong công cụ JavaScript V8 cho phép thực thi mã từ xa tới các hệ thống bị nhắm mục tiêu.
Tiếp theo, PuzzleMaker sử dụng các lỗi leo thang đặc quyền trong phiên bản Windows 10 mới nhất bằng cách khai thác lỗ hổng tiết lộ thông tin trong Windows kernel (CVE-2021-31955) và lỗi leo thang đặc quyền Windows NTFS (CVE-2021 -31956), cả hai lỗi đều được vá trong bản vá bảo mật tháng 6 của Microsoft.
Kẻ tấn công kết hợp thành phần Windows Notification Facility (WNF) với lỗ hổng CVE-2021-31956 để thực thi các mô-đun phần mềm độc hại với đặc quyền hệ thống trên các hệ thống Windows 10 bị khai thác.
Các nhà nghiên cứu cho biết: "Khi kẻ tấn công đã sử dụng kết hợp các lỗ hổng trong Chrome và Windows để có được chỗ đứng trong hệ thống được nhắm mục tiêu, mô-đun stager sẽ tải xuống và thực thi phần mềm độc hại phức tạp hơn từ một máy chủ từ xa".
"Sau đó, mã độc này sẽ cài đặt hai tệp thực thi, giả vờ là các tệp hợp pháp của hệ điều hành Windows. Thành phần thứ hai của tệp thực thi này là một mô-đun shell từ xa, có thể tải xuống và tải lên tệp, tạo quy trình, ngủ trong một khoảng thời gian nhất định và tự xóa khỏi hệ thống bị nhiễm."
Theo Kaspersky, các cuộc tấn công do PuzzleMaker phát động lần đầu tiên được phát hiện vào giữa tháng 4 khi những nạn nhân đầu tiên bị tin tặc khai thác được phát hiện.
Tin tặc sử dụng lỗ hổng zero-day trong trình duyệt Chrome tồn tại trong công cụ JavaScript V8 cho phép thực thi mã từ xa tới các hệ thống bị nhắm mục tiêu.
Tiếp theo, PuzzleMaker sử dụng các lỗi leo thang đặc quyền trong phiên bản Windows 10 mới nhất bằng cách khai thác lỗ hổng tiết lộ thông tin trong Windows kernel (CVE-2021-31955) và lỗi leo thang đặc quyền Windows NTFS (CVE-2021 -31956), cả hai lỗi đều được vá trong bản vá bảo mật tháng 6 của Microsoft.
Kẻ tấn công kết hợp thành phần Windows Notification Facility (WNF) với lỗ hổng CVE-2021-31956 để thực thi các mô-đun phần mềm độc hại với đặc quyền hệ thống trên các hệ thống Windows 10 bị khai thác.
Các nhà nghiên cứu cho biết: "Khi kẻ tấn công đã sử dụng kết hợp các lỗ hổng trong Chrome và Windows để có được chỗ đứng trong hệ thống được nhắm mục tiêu, mô-đun stager sẽ tải xuống và thực thi phần mềm độc hại phức tạp hơn từ một máy chủ từ xa".
"Sau đó, mã độc này sẽ cài đặt hai tệp thực thi, giả vờ là các tệp hợp pháp của hệ điều hành Windows. Thành phần thứ hai của tệp thực thi này là một mô-đun shell từ xa, có thể tải xuống và tải lên tệp, tạo quy trình, ngủ trong một khoảng thời gian nhất định và tự xóa khỏi hệ thống bị nhiễm."
Theo: bleepingcomputer