La sfârșitul lunii aprilie 2018, produsele Kaspersky Lab au detectat proactiv un exploit necunoscut până în acel moment, care, după ce a fost analizat de experții companiei, s-a dovedit că folosea o vulnerabilitate zero-day CVE-2018-8174 pentru Internet Explorer. Potrivit experților, aceasta a fost folosită în atacuri direcționate.
Interesant este că exploit-ul Internet Explorer a fost descărcat într-un document Microsoft Word, acesta fiind primul caz cunoscut al unei astfel de tehnici. De asemenea, este demn de remarcat că a putut fi utilizată o variantă la zi de Microsoft Word.
În momentul descoperirii, Kaspersky Lab a raportat vulnerabilitatea către Microsoft. Patch-ul este disponibil aici, începând cu 8 mai.
Un exploit este un tip de program care profită de o vulnerabilitate sau de un bug dintr-un alt program pentru a infecta victimele. Exploit-urile sunt folosite atât de infractorii cibernetici care vor să obțină bani, cât și de grupările sponsorizate de către state.
În acest caz, exploit-ul identificat este bazat pe un cod periculos care exploatează vulnerabilitatea zero-day – un bug tipic UAF (use-after-free), atunci când un cod executabil legitim, precum cel pentru Internet Explorer, aplică o logică incorectă de procesare a memoriei. Acest lucru transmite mesajul că a fost eliberată memorie. Dacă în cele mai multe cazuri, rezultatul este o simplă blocare a browser-ului, cu ajutorul exploit-ului, atacatorii folosesc bug-ul pentru a prelua controlul asupra dispozitivului.
O analiză suplimentară a exploit-urilor a arătat că procesul de infectare include următorii pași:
· Victima primește documentul periculos Microsoft Office RTF;
· După deschiderea documentului, a doua etapă a exploit-ului este descărcată – o pagină HTML cu cod malware;
· Codul declanșează bug-ul UAF de afectare a memoriei;
· Codul shell care descarcă elementele periculoase este apoi executat.
Produsele Kaspersky Lab detectează și blochează toate etapele procesului de infectare, cu următoarele verdicte:
– HEUR:Exploit.MSOffice.Generic – document RTF
– PDM:Exploit.Win32.Generic – exploit IE – detecție cu Automatic Exploit Prevention technology
– HEUR:Exploit.Script.Generic – exploit IE
– HEUR:Trojan.Win32.Generic – Payload
