Наши защитные технологии выявили эксплуатацию ранее неизвестной уязвимости в драйвере Win32k, которая использовалась для загрузки трояна.
В конце этого лета движок поведенческого детектирования и технология Exploit Prevention обнаружили эксплуатацию уязвимости в драйвере ядра Win32k. Наши эксперты исследовали её и выснили, что уязвимость номер CVE-2021-40449, ранее не была описана. Поэтому мы сообщили о ней в Microsoft, и разработчики системы закрыли ее в регулярном обновлении 12 октября. Мы рекомендуем поскорее обновить Microsoft Windows.
Что за уязвимость CVE-2021-40449 и для чего она использовалась
CVE-2021-40449 уязвимость класса use-after-free в функции NtGdiResetDC драйвера Win32k. Подробное техническое описание можно найти в посте на сайте Securelist. Если коротко, она приводит к утечке адресов модулей ядра в памяти компьютера. В результате злоумышленники используют ее для повышения привилегий другого вредоносного процесса. Благодаря повышению привилегий злоумышленники скачивали и запускали зловред MysterySnail, принадлежащий к классу Remote Access Trojan (RAT). Он обеспечивает злоумышленникам доступ в систему жертвы.
Троян MysterySnail, и что он делает
Сперва троян собирает информацию о зараженной системе и отправляет ее на командный сервер. После этого через MysterySnail злоумышленники могут дать целый ряд команд: создать, прочитать или удалить конкретный файл, скачать список каталогов, открыть прокси-канал и переслать через него данные.
Кроме того, в нем реализованы и достаточно интересные функции. Так, он не просто умеет просматривать список подключенных накопителей, но и может в фоновом режиме отслеживать подключение внешних. Еще троян может запустить интерактивную оболочку cmd.exe, предварительно скопировав сам файл cmd.exe во временную папку под другим именем.
Кого атаковали через уязвимость CVE-2021-40449
Эксплойт для данной уязвимости поддерживает целый ряд операционных систем семейства Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) и Server 2019 (build 17763). По мнению наших экспертов, эксплойт был написан специально для повышения привилегий на серверных версиях ОС.
После первичного обнаружения угрозы наши эксперты выяснили, что данный эксплойт и загружаемый в систему с его помощью зловред MysterySnail широко используются в шпионских операциях против IT-компаний, дипломатических организаций и компаний, работающих на оборонную промышленность.
Благодаря использованию системы Kaspersky Threat Attribution Engine нашим экспертам удалось найти ряд сходств по коду и функциям между MysterySnail и зловредом, использованным группировкой IronHusky. Кроме того, некоторые адреса командных серверов уже были использованы в 2012 году при атаках APT-группы, использующей китайский язык.
Более подробную информацию об атаке вместе с детальным описанием эксплойта и индикаторами компрометации можно найти в посте на сайте Securelist.
Как оставаться в безопасности
Поскорее стоит установить свежие патчи, выпущенные Microsoft. А чтобы в будущем не страдать от уязвимостей нулевого дня, установите защиту на все компьютеры с выходом в Интернет. Важно, чтобы они могли проактивно выявлять и останавливать эксплуатацию уязвимостей.
Уязвимость была обнаружена движком поведенческого детектирования (Behavioral Detection Engine) и технологией предотвращения эксплуатации уязвимостей (Exploit Prevention), которые являются частью большинства наших решений, в том числе Kaspersky Endpoint Security for Business.