„Kaspersky Lab“ aptiko technologijos „Silverlight“, taikomos multimedijos turiniui atvaizduoti internete, nulinės dienos pažeidžiamumą. Per jį sukčiai gali gauti prieigą prie užkrėsto kompiuterio ir pavogti konfidencialią informaciją arba atlikti kitus kenkėjiškus veiksmus.
Pažeidžiamumas CVE-2016-0034 buvo paslėptas naujausiame atnaujinimų pakete, išleistame bendrovės „Microsoft“ 2016 m. sausio 12 d. „Kaspersky Lab“ prieš penkis mėnesius pradėjo tyrimą ir aptiko pažeidžiamumą.
Istorija prasidėjo 2015 m. vasarą, kai pasklido naujiena, kad programišiai surengė išpuolį prieš bendrovę „Hacking Team“ („teisėtos“ programinės įrangos, skirtos sekti, kūrėją). Viename iš straipsnių, išplatintame „Ars Technica“ leidyklos, buvo skelbiama apie bendrovės atstovų ir rusų kilmės eksploitų kūrėjo Vitalijaus Toropovo susirašinėjimą. Leidyklos duomenimis, V. Toropovas bandė parduoti „Hacking Team“ eksploitą, skirtą labai įdomiam nulinės dienos pažeidžiamumui – būtent „Microsoft Silverlight“ technologijos ketverių metų senumo pažeidžiamumui, kuris tuo metu dar nebuvo uždarytas. Ši informacija atkreipė „Kaspersky Lab“ tyrėjų dėmesį.
Išsamių detalių apie patį eksploitą straipsnyje nebuvo, taigi ekspertai pradėjo savo tyrimą, naudodamiesi pardavėjo vardu. Jie greitai išsiaiškino, kad žmogus, pasivadinęs V. Toropovu, buvo aktyvus atviros duomenų bazės apie pažeidžiamumus (Open Source Vulnerability Database – OSVDB) naudotojas – jis nuolat pildė ją nauja informacija. Išnagrinėję jo paskyrą tinklalapyje OSVBD.org, „Kaspersky Lab“ ekspertai aptiko, kad 2013 m. V. Toropovas paskelbė eksperimento, kuriame buvo aprašoma programinė technologijos „Silverlight“ klaida, rezultatus. Buvo kalbama apie seniai žinomą pažeidžiamumą, kuris tuo metu jau buvo uždarytas. Tačiau aprašyme taip pat buvo minimos kai kurios detalės, leidusios „Kaspersky Lab“ ekspertams suprasti, kaip eksploitų kūrėjas rašo kodą.
Naudodamiesi gauta informacija, tyrėjai sukūrė kelias aptikimo taisykles, kurios buvo įtrauktos į „Kaspersky Lab“ apsaugos technologijas. Buvo manoma, kad jei V. Toropovas bandė parduoti eksploitą „Hacking Team“, jis greičiausiai savo produktą siūlė ir kitiems šnipinėti skirtos programinės įrangos kūrėjams. Tai reiškia, kad anksčiau ar vėliau jis bus panaudotas kurioje nors kibernetinio šnipinėjimo kampanijoje.
Skaičiavimai pasitvirtino. Po aptikimo taisyklių įtraukimo į „Kaspersky Lab“ apsaugos produktus per debesų infrastruktūrą „Kaspersky Security Network“ (KSN) buvo gauta informacija apie bandymą užkrėsti kenkėjišku failu kaip tik tokių charakteristikų, kokių ieškojo ekspertai. O dar po kelių valandų naudotojas iš Laoso (greičiausiai tapęs išpuolio auka) įkrovė į multiskenerį failą su tomis pačiomis charakteristikomis. Išnagrinėję išpuolį, kuriame buvo taikomi šie failai, „Kaspersky Lab“ ekspertai išsiaiškino, kad organizatoriai taikė dar nežinomą „Silverlight“ technologijos pažeidžiamumą. Informacija nedelsiant buvo perduota „Microsoft“.
„Mes iki šiol dar nesame tikri, kad aptikome tą eksploitą, apie kurį buvo rašoma „Ars Technica“ paskelbtame straipsnyje, tačiau turime pagrindo manyti, kad tai būtent jis. Palyginę aptiktą failą su tuo darbu, kurį OSVDB paskelbė V. Toropovas, mes manome, kad eksploitą sukūrė ir eksperimentą atliko tas pats asmuo. Nors neatmetame galimybės, kad tiesiog radome dar vieną nežinomą nulinės dienos „Silverlight“ pažeidžiamumą. Kad ir kaip būtų, mūsų darbas leido uždaryti vieną pažeidžiamumą, vadinasi, padarė kibernetinę erdvę šiek tiek saugesnę. Rekomenduojame visiems „Microsoft“ produktų naudotojams kuo greičiau atnaujinti savo sistemas ir taip uždaryti aptiktą pažeidžiamumą“, – pažymėjo Kostinas Raju, „Kaspersky Lab“ Globalaus grėsmių tyrimo ir analizės centro vadovas. „Kaspersky Lab“ produktai aptinka eksploitą, skirtą CVE-2016-0034 pažeidžiamumui, vadinamam HEUR:Exploit.MSIL.Agent.gen.
Paieška archyve
