Aktualizujcie Silverlight. Luka pozwala na uzyskanie pełnego dostępu do komputera

13 stycznia, 2016

Eksperci z Kaspersky Lab wykryli lukę w technologii Silverlight wykorzystywanej do wyświetlania treści multimedialnych na stronach WWW. Błąd ten umożliwia atakującemu uzyskanie pełnego dostępu do podatnego komputera i wykonanie szkodliwego kodu w celu kradzieży poufnych informacji oraz przeprowadzenia innych niebezpiecznych działań. Opisywana luka (CVE-2016-0034) została załatana wraz z najnowszą aktualizacją opublikowaną przez Microsoft 12 stycznia 2016 r. Odkrycie było wynikiem dochodzenia, które rozpoczęło się ponad pięć miesięcy temu od artykułu opublikowanego przez Ars Technica.

Latem 2015 r. w mediach pojawiła się informacja o ataku hakerskim na firmę Hacking Team (producenta „legalnego oprogramowania spyware”). W jednym z artykułów na ten temat, opublikowanym w Ars Technica, wspominano o wycieku rzekomej korespondencji pomiędzy przedstawicielami Hacking Team a Witalijem Toropowem, niezależnym twórcą szkodliwych programów wykorzystujących luki z zabezpieczeniach (tzw. exploity).

Artykuł wspominał m.in. o wiadomościach, w których Toropow oferował firmie Hacking Team sprzedaż szczególnie interesującego exploita zero-day (wykorzystującego do infekcji lukę, dla której nie opublikowano jeszcze poprawek bezpieczeństwa): był to szkodliwy kod atakujący poprzez lukę w zabezpieczeniach technologii Microsoft Silverlight, która została zidentyfikowana cztery lata wcześniej i nadal pozostawała niezałatana. Informacja ta wzbudziła zainteresowanie badaczy z Kaspersky Lab.

Artykuł nie zawierał żadnych dodatkowych informacji na temat exploita, dlatego badacze zaczęli dochodzenie od nazwy sprzedawcy. Wkrótce ustalili, że osoba przedstawiająca się jako Witalij Toropow to współautor Open Source Vulnerability Database (OSVDB) – miejsca, w którym każdy mógł umieścić informacje na temat luk w zabezpieczeniach. Analizując jego profil publiczny na OSVBD.org, badacze z Kaspersky Lab odkryli, że w 2013 r. Toropow opublikował informacje na temat błędu w technologii Silverlight. Dotyczył on starej, znanej luki w zabezpieczeniach, która została już załatana. Zawierał jednak dodatkowe dane, które pozwoliły badaczom z Kaspersky Lab zorientować się, w jaki sposób autor exploita zwykle pisze kod.

Podczas analizy eksperci z Kaspersky Lab zwrócili uwagę na kilka unikatowych ciągów w kodzie. Na podstawie tych informacji stworzono kilka reguł wykrywania dla technologii ochrony Kaspersky Lab: gdy użytkownik, który zgodził się udostępnić w chmurze Kaspersky Security Network (KSN) dane dotyczące szkodliwej aktywności na swoim komputerze, trafił na szkodliwe oprogramowanie wykazujące zachowanie uwzględnione w tych regułach, system oznaczał plik jako wysoce podejrzany i wysyłał powiadomienie do badaczy w celu przeprowadzenia analizy.

Taktyka ta opierała się na prostym założeniu: jeśli Toropow próbował sprzedać exploita zero-day firmie Hacking Team, prawdopodobnie proponował to również innym dostawcom oprogramowania szpiegującego (tzw. spyware). W rezultacie inne kampanie cyberszpiegowskie mogły aktywnie wykorzystywać ten szkodliwy kod w celu atakowania i infekowania niczego nieświadomych ofiar. 

Założenie to okazało się słuszne. Kilka miesięcy po wprowadzeniu specjalnych reguł wykrywania jeden z klientów Kaspersky Lab stał się celem ataku, w którym wykorzystano podejrzany plik o właściwościach szukanych przez analityków. Kilka godzin później ktoś (prawdopodobnie ofiara ataków) z Laosu wysłał plik o tych samych właściwościach celem wyszukania w nim zagrożeń. W wyniku analizy ataku eksperci z Kaspersky Lab ustalili, że w rzeczywistości wykorzystywał on nieznany błąd w technologii Silverlight. Informacje o tym błędzie zostały niezwłocznie przekazane firmie Microsoft w celu potwierdzenia.

„Chociaż nie wiemy, czy wykryty przez nas exploit jest w rzeczywistości tym, o którym wspominano w artykule Ars Technica, mamy mocne podstawy, aby przypuszczać, że tak jest. Porównując analizę tego pliku z wcześniejszą pracą Witalija Toropowa, uważamy, że autor niedawno wykrytego exploita i autor kodu opublikowanego w OSVDB w imieniu Toropowa to ta sama osoba. Jednocześnie nie wykluczamy całkowicie możliwości, że znaleźliśmy kolejnego exploita zero-day w technologii Silverlight. Ogólnie, badanie to pomogło uczynić cyberprzestrzeń nieco bezpieczniejszym miejscem, dzięki wykryciu nowej podatności i ujawnieniu jej w odpowiedzialny sposób. Zachęcamy wszystkich użytkowników produktów firmy Microsoft, aby niezwłocznie uaktualnili swoje systemy w celu załatania tej luki” – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.

Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący omawianą lukę jako HEUR:Exploit.MSIL.Agent.gen. Szczegóły techniczne dotyczące omawianej luki znajdują się na stronie http://r.kaspersky.pl/GnmQP

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]