נתגלתה פרצת יום אפס באינטרנט אקספלורר

נתגלתה פירצת יום אפס באינטרנט אקספלורר (Internet Explorer). חוקרי קספרסקי (Kaspersky Lab) גילו אותו בסוף אפריל 2018.

החוקרים זיהו פעילות של כלי פריצה שהיה מוכר בעבר, אך לאחר ניתוח שלהם התברר שמדובר בפירצת יום אפס CVE-2018-8174 לאינטרנט אקספלורר. לדברי המומחים, נעשה בפירצה שימוש במסגרת התקפות ממוקדות.

עובדה מעניינת במיוחד, ציינו חוקרי ענקית אבטחת המידע הרוסית,  היא שזו הפעם הראשונה שנעשה שימוש בטכניקה להורדת נוזקה אל תוך מסמך של Microsoft Word. יש לציין כי הפירצה התרחשה בגרסה מעודכנת לחלוטין של Microsoft Word.

חוקרי קספרסקי דיווחו על הפירצה למיקרוסופט (Microsoft), שהנפיקו הטלאה בשבוע שעבר.

כלי פריצה (Exploit) הוא תוכנה המנצלת באג, או פירצה בתוכנה אחרת, כדי להדביק את הקורבן בנוזקה. כלי פריצה נמצאים בשימוש נרחב גם על ידי עברייני סיייבר המחפשים ליצור רווח – וגם על ידי גורמים מתוחכמים יותר, הפועלים בשליחות ובמימון מדינות.

לא רק שחקנים מתוחכמים

במקרה זה, כלי הפריצה התבסס על פרצת יום אפס, שנוצרת בעקבות באג UAF (ר"ת use-after-free) שכיח. הבאג מתרחש כאשר מופעל במערכת קוד לגיטימי, בדומה לזה שבאינטרנט אקספלורר, אשר מייצר עיבוד לוגי שגוי בזיכרון. בדרך כלל, הדבר מוביל לתקשורת של הקוד עם זיכרון שהתפנה. בעוד שברוב המקרים, תהליך שכזה מביא לנפילה פשוטה של הדפדפן, הרי שפה, באמצעות כלי הפריצה, התוקפים מסוגלים להעביר את השליטה מהמכשיר אליהם.

ניתוח עמוק יותר של כלי הפריצה הראה כי שרשרת ההדבקה עקבה אחר הצעדים הבאים: הקורבן מקבל מסמך RTF Microsoft Office זדוני; לאחר פתיחת המסמך הזדוני, הוא מוריד את החלק השני של כלי הפריצה – עמוד HTML עם נוזקה; הקוד מפעיל באג UAF לפגיעה בזיכרון; ואז, מופעל ה-Shellcode שמוריד מטען זדוני.

"עד שתתוקן טכניקה זו, היא מאפשרת לעבריינים להכריח את האינטרנט אקספלורר להיטען, ולא משנה איזה דפדפן נמצא בדרך כלל בשימוש – דבר המרחיב את מישור ההתקפה הרחב גם כך", אמר אנטון איבנוב, חוקר אבטחה בקספרסקי.

למרבה המזל, אמר, "גילוי פרואקטיבי של האיום הוביל לשחרור מהיר של עדכון אבטחה על ידי מיקרוסופט. אנו קוראים לארגונים ומשתמשים פרטיים להתקין את העדכונים החדשים באופן מיידי. לא יעבור עוד זמן רב לפני שכלים לניצול הפירצה הזאת יהפכו לנפוצים, ויהיו בשימוש גם על ידי עברייני סייבר רגילים, ולא רק על ידי שחקנים מתוחכמים".

החודש הנפיקה מיקרוסופט 67 טלאים נגד נוזקות, 21 מהם סווגו כקריטיים.