В конце лета — начале осени этого года движок поведенческого детектирования и технология Exploit Prevention обнаружили эксплуатацию уязвимости в драйвере ядра Win32k. Благодаря этому нашим экспертом удалось выявить и исследовать всю операцию злоумышленников. Анализ показал, что данная уязвимость, получившая номер CVE-2021-40449, ранее не была описана, поэтому мы сообщили о ней в Microsoft, и разработчики системы закрыли ее в регулярном обновлении, которое вышло 12 октября этого года. Поэтому (как это обычно бывает после второго вторника каждого месяца) мы рекомендуем как можно скорее обновить Microsoft Windows.
Что за уязвимость CVE-2021-40449 и для чего она использовалась
CVE-2021-40449 — это уязвимость класса use-after-free в функции NtGdiResetDC драйвера Win32k. Подробное техническое описание можно найти в посте на сайте Securelist, а если коротко — она приводит к утечке адресов модулей ядра в памяти компьютера. В результате злоумышленники используют ее для повышения привилегий другого вредоносного процесса.
Благодаря повышению привилегий злоумышленники скачивали и запускали зловред MysterySnail, принадлежащий к классу Remote Access Trojan (RAT). Он обеспечивает злоумышленникам доступ в систему жертвы.
Троян MysterySnail, и что он делает
Первым делом троян собирает информацию о зараженной системе и отправляет ее на командный сервер. После этого через MysterySnail злоумышленники могут дать целый ряд команд: например, создать, прочитать или удалить конкретный файл, создать или удалить процесс, скачать список каталогов, открыть прокси-канал и переслать через него данные.
Кроме того, в нем были реализованы и достаточно интересные функции. Так, он не просто умеет просматривать список подключенных накопителей, но и может в фоновом режиме отслеживать подключение внешних накопителей. Кроме того, троян может запустить интерактивную оболочку cmd.exe, предварительно скопировав сам файл cmd.exe во временную папку под другим именем.
Кого атаковали через уязвимость CVE-2021-40449
Эксплойт для данной уязвимости поддерживает целый ряд операционных систем семейства Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) и Server 2019 (build 17763). По мнению наших экспертов, эксплойт был написан специально для повышения привилегий на серверных версиях ОС.
После первичного обнаружения угрозы наши эксперты выяснили, что данный эксплойт и загружаемый в систему с его помощью зловред MysterySnail широко используются в шпионских операциях против IT-компаний, дипломатических организаций и компаний, работающих на оборонную промышленность.
Благодаря использованию системы Kaspersky Threat Attribution Engine нашим экспертам удалось найти ряд сходств по коду и функциям между MysterySnail и зловредом, использованным группировкой IronHusky. Кроме того, некоторые адреса командных серверов уже были использованы в 2012 году при атаках APT-группы, использующей китайский язык.
Более подробную информацию об атаке вместе с детальным описанием эксплойта и индикаторами компрометации можно найти в посте на сайте Securelist.
Как оставаться в безопасности
Первым делом следует установить свежие патчи, выпущенные Microsoft. А чтобы в будущем не пострадать от иных уязвимостей нулевого дня, мы рекомендуем установить на все компьютеры, имеющие выход в Интернет, надежные защитные решения, способные проактивно выявлять и останавливать эксплуатацию уязвимостей.
CVE-2021-40449 была обнаружена движком поведенческого детектирования (Behavioral Detection Engine) и технологией предотвращения эксплуатации уязвимостей (Exploit Prevention), которые являются частью большинства наших решений, в том числе Kaspersky Endpoint Security for Business.