今年 4 月,卡巴斯基专家发现了一系列针对多家公司的高度针对性攻击,这些攻击利用以前未发现的 Chrome 和 Microsoft Windows 零日漏洞攻击链。

其中一个漏洞利用程序用于在Chrome浏览器中进行远程代码执行,另一个则是针对最新以及最常见Windows 10版本进行了微调的权限提升漏洞。后者利用了微软Windows操作系统内核中的两个漏洞:信息泄露漏洞CVE-2021-31955和权限提升漏洞CVE-2021-31956。作为 “补丁星期二 ”的一部分,微软今天已经对这两个漏洞进行了修补。

最近几个月,在野外出现了一波利用零日漏洞进行的高级威胁活动。4月中旬,卡巴斯基专家发现了一波新的针对多家公司的高度针对性的漏洞利用攻击,而且这些攻击能够让攻击者隐蔽地入侵目标网络。

卡巴斯基还未发现这些攻击与任何已知威胁行为者之间的关联。因此,他们将这个威胁行为者称为PuzzleMaker。

所有攻击都是通过Chrome进行的,并利用了一个允许远程执行代码的漏洞。虽然卡巴斯基研究人员无法获取到远程执行漏洞的代码,但从时间轴和可用性来看,攻击者使用的应该是现在已经被修复的CVE-2021-21224漏洞。此漏洞与 V8 中的类型不匹配错误有关 -V8是 Chrome 和 Chromium浏览器使用的 一个JavaScript 引擎。该漏洞允许攻击者利用Chrome的渲染进程(负责用户标签卡内发生的进程)。

但是,卡巴斯基专家还是发现了分析了第二个漏洞利用程序:一个权限提升漏洞利用,利用了微软Windows操作系统内核中两个不同的漏洞。第一个漏洞为信息泄露漏洞(一种会泄露敏感内核信息的漏洞),其漏洞编号为CVE-2021-31955。具体来说,该漏洞与 SuperFetch 相关——SuperFetch是在Windows Vista中首次引入的功能,旨在通过将常用的应用程序预装到内存中来减少软件的加载时间。

第二个漏洞是一种权限提升漏洞(允许攻击者利用内核并获得对计算机的高等级访问的漏洞)——该漏洞的编号为CVE-2021-31956,是一个基于堆的缓冲区溢出。攻击者利用CVE-2021-31956漏洞与Windows通知设施(WNF)一起创建任意内存读/写原语,并以系统权限执行恶意软件模块。

一旦攻击者使用Chrome和Windows漏洞利用程序在目标系统中驻扎后,阶段攻击模块就会从远程服务器下载并执行一个更复杂的恶意软件释放器。释放器会安装两个可执行文件,并将其伪装成Windows操作系统的合法文件。这两个可执行文件中的第二个是远程 shell 模块,它能够下载和上传文件、创建进程、休眠一定时间以及从受感染的系统中删除自身。

作为补丁星期二的一部分,微软今天发布了针对这两个 Windows 漏洞的补丁。

“虽然这些攻击具有高度的针对性,但我们还未将其与任何已知威胁行为者联系起来。因此,我们将这些攻击幕后的行为者称为“PuzzleMaker”,并密切关注安全领域的未来活动或关于这个团体的新见解。整体来看,最近我们发现好几波由零日漏洞驱动的高调的威胁活动。这提醒我们,零日漏洞仍然是感染目标的最有效方法。现在,这些漏洞已经被公开,我们有可能看到这些漏洞在这个和其他威胁者的攻击中的使用增加。这意味着对用户来说,尽早从微软下载最新的补丁非常重要,”卡巴斯基全球研究和分析团队(GReAT)高级安全研究员Boris Larin评论说。

卡巴斯基产品能够检测和保护上述漏洞被利用,同时也能拦截相关恶意软件模块。

为了保护您的企业和组织不受利用上述漏洞的攻击危害,卡巴斯基专家建议:

及时更新您的Chrome浏览器和微软Windows系统,并定期进行更新。

使用一款可靠的端点安全解决方案,例如卡巴斯基网络安全解决方案。该解决方案具有漏洞预防、行为检测和修复引擎的功能,能够回滚恶意行为。

安装反APT和EDR解决方案,启用威胁发现和检测功能以及事件调查和及时修复功能。为您的SOC团队提供最新的威胁情报,并定期为他们提供专业培训。上述所有服务均可通过卡巴斯基专家安全框架获取。

除了适当的端点保护之外,专用服务也可以帮助防御高调的攻击。卡巴斯基管理检测和响应服务能够帮助在攻击者实现其目标之前,在早期阶段识别和阻止攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。