Bătrânul Internet Explorer nu este lăsat să moară şi încă este exploatat la maximum de către hackeri

Bătrânul Internet Explorer nu este lăsat să moară şi încă este exploatat la maximum de către hackeri

La sfârşitul lunii aprilie 2018, Kaspersky a detectat proactiv un exploit necunoscut până în acel moment, care, după ce a fost analizat de experţii companiei, s-a dovedit că folosea o vulnerabilitate zero-day CVE-2018-8174 pentru Internet Explorer. Potrivit experţilor, aceasta a fost folosită în atacuri direcţionate. Atacatorii puteau obţine acces complet la dispozitivele afectate.

Ştiri pe aceeaşi temă

Interesant este că exploit-ul Internet Explorer a fost descărcat într-un document Microsoft Word, acesta fiind primul caz cunoscut al unei astfel de tehnici. De asemenea, este demn de remarcat că a putut fi utilizată o variantă la zi de Microsoft Word.

În momentul descoperirii, Kaspersky Lab a raportat vulnerabilitatea către Microsoft. Patch-ul este disponibil aici, începând cu 8 mai.

Un exploit este un tip de program care profită de o vulnerabilitate sau de un bug dintr-un alt program pentru a infecta victimele. Exploit-urile sunt folosite atât de infractorii cibernetici care vor să obţină bani, cât şi de grupările sponsorizate de către state.

În acest caz, exploit-ul identificat este bazat pe un cod periculos care exploatează vulnerabilitatea zero-day, un bug tipic UAF (use-after-free), atunci când un cod executabil legitim, precum cel pentru Internet Explorer, aplică o logică incorectă de procesare a memoriei.

Acest lucru transmite mesajul că a fost eliberată memorie. Dacă în cele mai multe cazuri, rezultatul este o simplă blocare a browser-ului, cu ajutorul exploit-ului, atacatorii folosesc bug-ul pentru a prelua controlul asupra dispozitivului.

O analiză suplimentară a exploit-urilor a arătat că procesul de infectare include următorii paşi:

  • Victima primeşte documentul periculos Microsoft Office RTF;
  • După deschiderea documentului, a doua etapă a exploit-ului este descărcată – o pagină HTML cu cod malware;
  • Codul declanşează bug-ul UAF de afectare a memoriei;
  • Codul shell care descarcă elementele periculoase este apoi executat.

 

citeste totul despre: