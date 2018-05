Z technicznego punktu widzenia szczególnie interesujący jest fakt, że exploit wykorzystujący lukę w Internet Explorerze był pobierany do dokumentu Microsoft Word — jest to pierwszy znany przypadek zastosowania takiej techniki. Warto podkreślić, że atak mógł zostać przeprowadzony nawet wtedy, gdy w programie Microsoft Word zainstalowane były wszystkie dostępne łaty.

Zidentyfikowany przez badaczy z Kaspersky Lab exploit bazuje na szkodliwym kodzie wykorzystującym lukę dnia zerowego — błąd UAF (ang. Use After Free) polegający na odwoływaniu się przez legalną aplikację (tym przypadku przeglądarkę Internet Explorer) do obszaru pamięci, który został już zwolniony. W większości przypadków takie zachowanie prowadzi do zawieszenia się przeglądarki, jednak w przypadku ataku cyberprzestępca wykorzystuje błąd do przejęcia kontroli nad maszyną ofiary.

Bardziej szczegółowa analiza exploita wykazała, że łańcuch infekcji obejmuje następujące kroki:

ofiara otrzymuje szkodliwy dokument w formacie RTF,

po otwarciu dokumentu w programie Microsoft Word pobierana jest strona HTML ze szkodliwym kodem,

kod ten wywołuje błąd uszkodzenia pamięci (UAF),

aktywowane jest polecenie pobierające dalsze szkodliwe moduły.

Po wykryciu exploita badacze zgłosili lukę do Microsoftu. Odpowiednia łata została opublikowana 8 maja i jest dostępna na firmowej stronie.

Źródło: Kaspersky Lab