2个最新零日漏洞遭到PowerFall攻击

我们的安全技术近期阻止了一次网络攻击,专家们分析揭露了在攻击中被利用的两个零日漏洞。

最近我们的安全技术阻止了一场针对某韩国公司的网络攻击。这一天对你来说也许只是普普通通的星期三,但是我们的安全专家在分析网络不法分子的工具时发现了两个零日漏洞。第一个漏洞在IE11的Javascript引擎中,允许攻击者远程执行代码。第二个则被发现于操作系统服务中,攻击者可以通过该漏洞提升权限并进行未授权行为。

漏洞的利用开始于tandem社区,首先一段恶意脚本借助IE11的安全漏洞隐秘在受害者系统中运行,随后系统服务中的安全漏洞进一步提升了恶意进程的权限,于是攻击者获得了系统的控制权。此次代号为PowerFall的攻击活动旨在入侵企业员工的计算机并渗透进入企业的内网。研究人员目前还没有发现这次攻击和任何已知团伙之间的必然联系,不过由于DarkHotel组织具有相似的漏洞利用方式,它们被首先列入嫌疑对象名单中。

当我们的研究人员将他们的发现通知微软公司时,对方表示已经意识到系统服务相关的漏洞并且已经开发了相关补丁程序,但是他们却认为IE11中的漏洞不太可能被利用。

CVE-2020-1380的危害

第一个漏洞存在于jscript9.dll库文件中,IE9之后的所有版本都默认使用该库,也就是说现代版本的IE浏览器都存在相关风险。(”现代”可能用词不太准确,因为微软公司在Windows 10系统中发布了Edge浏览器后就停止了IE浏览器的开发)然而最新的Windows系统依然默认同时安装IE浏览器和Edge浏览器,而且IE浏览器一直是操作系统中的重要组件。

也许IE不是你的默认浏览器而且你也不会主动使用它,但这并不代表你的系统不会因为IE漏洞而被入侵,因为有某些应用程序一直在使用它。以微软Office为例,它使用IE来播放文档中的视频内容。网络不法分子也可以通过其他安全漏洞来调用IE浏览器进而利用其漏洞。CVE-2020-1380属于释放后使用(UAF)漏洞,即漏洞产生原因是对动态内存的错误使用。你可以在Securelist网站上(Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall)阅读并了解漏洞的技术细节以及被感染的征兆。

如何防护

微软在2020年6月9日发布了CVE-2020-0986的内核补丁程序,并在8月11日发布了IE漏洞的补丁程序。如果你定期更新操作系统,你的系统中应该已经安装了这些补丁程序并具备了防御PowerFall攻击的能力。

然而,零日漏洞总是层出不穷,为了确保企业的信息安全,你需要使用具有防护漏洞被利用的安全解决方案,比如卡巴斯基安全软件企业版。我们的产品中有漏洞防护组件,可以及时发现针对零日漏洞的攻击。除此之外,我们建议使用定期进行安全维护更新的浏览器产品。

提示