По сообщению «Лаборатории Касперского», в апреле ее эксперты обнаружили ряд целевых атак, которые проводились через браузер Chrome с применением ранее неизвестных эксплойтов нулевого дня. Один из них позволял удаленно выполнять код в браузере, а второй, написанный для работы с новейшими и самыми распространенными сборками Windows 10, – повышать привилегии. В настоящий момент уязвимости исправлены, патчи для них были выпущены 8 июня.

Эксперты сумели полностью проанализировать код эксплойта, повышающего привилегии в системе, и выяснили, что он эксплуатировал две уязвимости в ядре ОС Microsoft Windows. Первая из них, получившая номер CVE-2021-31955, – это уязвимость раскрытия информации в ntoskrnl.exe. Она связана с функцией SuperFetch, которая направлена на сокращение времени загрузки ПО за счет предварительной загрузки часто используемых приложений в оперативную память. Другая уязвимость, CVE-2021-31956, связана с переполнением буфера кучи в драйвере ntfs.sys. Эксплойт использовал ее вместе с механизмом Windows Notification Facility (WNF) для создания примитива произвольного чтения и записи в память.

Помимо эксплойтов в цепочке атаки применяются и другие вредоносные модули. Один из них, стейджер, уведомляет об успешной эксплуатации уязвимости, а также загружает и запускает с удаленного сервера более сложный модуль – дроппер вредоносного ПО. Дроппер используется для установки двух исполняемых файлов, которые маскируются под легитимные файлы ОС Microsoft Windows. Один из них представляет собой удаленный шелл, который может загружать и выгружать файлы, создавать процессы, уходить в сон на заданное время и удалять себя со скомпрометированного устройства.

Как поясняют в «Лаборатории Касперского», эксперты не смогли атрибутировать эти целевые атаки ни одной из известных кибергрупп и дали их авторам новое название – PuzzleMaker. Компания намерена пристально наблюдать за их дальнейшей деятельностью. Уязвимости нулевого дня продолжают оставаться самым эффективным методом заражения, а теперь, когда описанные специалистами бреши стали публично известными, возможен рост атак с их использованием.

Продукты «Лаборатории Касперского» детектируют эксплойт и вредоносные модули с вердиктами PDM:Exploit.Win32.Generic, PDM:Trojan.Win32.Generic и UDS:DangerousObject.Multi.Generic. Для защиты от атак, эксплуатирующих описанные бреши, «Лаборатория Касперского» рекомендует как можно скорее обновить браузер Chrome и Microsoft Windows и делать это регулярно, а также использовать надежные инструменты безопасности, в том числе решения для защиты от сложных атак и EDR-решения, специальные сервисы для борьбы с целевыми атаками.