Хакеры используют 0-day дыры в изощрённых атаках на Windows и Android

Хакеры используют 0-day дыры в изощрённых атаках на Windows и Android

Хакеры используют 0-day дыры в изощрённых атаках на Windows и Android

Команда Google Project Zero совместно с Google Threat Analysis Group (TAG) выявили непростую кампанию киберпреступников, которые эксплуатируют уязвимости нулевого дня (0-day) в операционных системах Windows и Android.

Особенность этих атак заключается в использовании сразу множества брешей двух ОС в связке с дырами в браузере Google Chrome. При этом атакующие задействуют как 0-day эксплойты, так и известные лазейки.

В отчёте исследователи отмечают, что им удалось обнаружить разные цепочки эксплойтов, которые злоумышленники использовали в «атаках водопоя» (watering hole). Один из вычисленных серверов специализировался на пользователях Windows, другой — атаковал исключительно Android-устройства.

Оба сервера при этом задействовали эксплойты для уязвимостей в Chrome, чтобы с их помощью удалённо выполнить код (RCE). Среди эксплойтов для Chrome и Windows были и 0-day, а вот в случае с Android атакующие прибегали к известным дырам.

«Учитывая профессиональный подход киберпреступников, мы считаем, что у них есть доступ к 0-day уязвимостям в Android. Однако в процессе собственного анализа мы не выявили этих дыр», — пишут специалисты.

 

Среди уже известных уязвимостей команда Google Project Zero отметила следующие:

  • CVE-2020-6418 – уязвимость в Chrome TurboFan (устранена в феврале 2020).
  • CVE-2020-0938 – брешь шрифта в Windows (устранена в апреле 2020).
  • CVE-2020-1020 – также дыра шрифта в Windows (устранена в апреле 2020).
  • CVE-2020-1027 – CSRSS-уязвимость в Windows (устранена в апреле 2020).

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru