Bătrânul Internet Explorer nu este lăsat să moară şi încă este exploatat la maximum de către hackeri
0La sfârşitul lunii aprilie 2018, Kaspersky a detectat proactiv un exploit necunoscut până în acel moment, care, după ce a fost analizat de experţii companiei, s-a dovedit că folosea o vulnerabilitate zero-day CVE-2018-8174 pentru Internet Explorer. Potrivit experţilor, aceasta a fost folosită în atacuri direcţionate. Atacatorii puteau obţine acces complet la dispozitivele afectate.
Interesant este că exploit-ul Internet Explorer a fost descărcat într-un document Microsoft Word, acesta fiind primul caz cunoscut al unei astfel de tehnici. De asemenea, este demn de remarcat că a putut fi utilizată o variantă la zi de Microsoft Word.
În momentul descoperirii, Kaspersky Lab a raportat vulnerabilitatea către Microsoft. Patch-ul este disponibil aici, începând cu 8 mai.
Un exploit este un tip de program care profită de o vulnerabilitate sau de un bug dintr-un alt program pentru a infecta victimele. Exploit-urile sunt folosite atât de infractorii cibernetici care vor să obţină bani, cât şi de grupările sponsorizate de către state.
În acest caz, exploit-ul identificat este bazat pe un cod periculos care exploatează vulnerabilitatea zero-day, un bug tipic UAF (use-after-free), atunci când un cod executabil legitim, precum cel pentru Internet Explorer, aplică o logică incorectă de procesare a memoriei.
Acest lucru transmite mesajul că a fost eliberată memorie. Dacă în cele mai multe cazuri, rezultatul este o simplă blocare a browser-ului, cu ajutorul exploit-ului, atacatorii folosesc bug-ul pentru a prelua controlul asupra dispozitivului.
O analiză suplimentară a exploit-urilor a arătat că procesul de infectare include următorii paşi:
- Victima primeşte documentul periculos Microsoft Office RTF;
- După deschiderea documentului, a doua etapă a exploit-ului este descărcată – o pagină HTML cu cod malware;
- Codul declanşează bug-ul UAF de afectare a memoriei;
- Codul shell care descarcă elementele periculoase este apoi executat.