W ostatnich miesiącach miała miejsce fala aktywności obejmującej zaawansowane zagrożenia wykorzystujące luki dnia zerowego. W połowie kwietnia eksperci z firmy Kaspersky odkryli kolejną partię wysoce ukierunkowanych ataków na liczne firmy z wykorzystaniem exploitów, które pozwoliły atakującym ukradkowo zainfekować atakowane sieci. Firma Kaspersky nie powiązała jeszcze tych ataków z żadnymi znanymi ugrupowaniami cyberprzestępczymi, a sprawcy są określani jako „PuzzleMaker”.

Wszystkie ataki zostały przeprowadzone za pośrednictwem przeglądarki Chrome i wykorzystywały exploita umożliwiającego zdalne wykonanie kodu. Chociaż badacze nie byli w stanie dotrzeć do kodu exploita, porządek chronologiczny — jak również dostępność — sugerują, że atakujący wykorzystywali załataną już lukę CVE-2021-21224. Była ona związana z błędem niezgodności typów w silniku JavaScript wykorzystywanym przez przeglądarki Chrome i Chromium. 

Eksperci zdołali znaleźć i przeanalizować drugi exploit: narzędzie umożliwiające podniesienie uprawnień, które wykorzystuje dwie różne luki w jądrze Microsoft Windows OS. Pierwsza z nich to luka powodująca wyciek wrażliwych informacji dotyczących jądra systemu, której nadano kod CVE-2021-31955. Luka ta jest związana z funkcją wstępnego ładowania do pamięci, która po raz pierwszy została wprowadzona do systemu Windows Vista w celu skrócenia czasu uruchamiania oprogramowania. 

Druga luka – podnosząca uprawnienia w systemie – otrzymała nazwę CVE-2021-31956. Atakujący wykorzystali ją wraz z systemem powiadomień systemu Windows w celu m.in. uruchamiania modułów szkodliwego oprogramowania z uprawnieniami systemu. 

Po wykorzystaniu exploitów dla Chrome’a i Windowsa w celu przedostania się do atakowanego systemu szkodnik pobiera ze zdalnego serwera kolejny moduł. Jest on odpowiedziany za pobranie i zainstalowanie dwóch plików wykonywalnych, które podszywają się pod legalne moduły systemu Windows. Jeden z nich potrafi pobierać i przesyłać pliki, tworzyć procesy, pozostawać w uśpieniu przez pewien czas oraz usuwać się z zainfekowanego systemu. 

Firma Microsoft opublikowała już poprawkę na obie luki w systemie Windows w ramach tzw. poprawkowego wtorku. Jak najszybciej uaktualnij przeglądarkę Chrome oraz system Windows. Zadbaj, by wszelkie uaktualnienia były instalowane na bieżąco.