Pozor na novou zero-day zranitelnost Windows, exploit MysterySnail

Windows zero-day exploit

Koncem léta 2021 zabránily automatické detekční technologie společnosti Kaspersky na několika serverech s Microsoft Windows sérii útoků využívajících exploit pro zvýšení úrovně oprávnění. Po bližší analýze útoku objevili výzkumníci společnosti nový zero-day exploit.

Během první poloviny roku zaznamenali odborníci společnosti Kaspersky nárůst útoků využívajících tzv. zranitelnost nultého dne. Jako „zero-day“ zranitelnost se označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dřív, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky můžou být mimořádně úspěšné.

Technologie společnosti Kaspersky zjistily sérii útoků využívajících exploit k zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Tento exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost CVE-2016-3309, bližší analýza však ukázala, že se jedná o nový zero-day exploit. Výzkumníci jej nazvali MysterySnail.

Nová hrozba od čínských hackerů?

Zjištěná podobnost kódu a způsobu použití infrastruktury C&C serverů vedly výzkumníky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012.

Analýzou dat přenášených malwarem použitým k šíření exploitu výzkumníci společnosti zjistili, že varianty tohoto malwaru se používaly v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům.

Zranitelnost byla nahlášena společnosti Microsoft a ten ji opravil 12. října 2021 v rámci říjnového záplatovacího úterý.

TZ

@RadekVyskovsky