Z czekaniem na nowe podatności jest jak z łowieniem ryb – nigdy nie wiesz, kiedy trafi się naprawdę gruba ryba. A trafia się właśnie w opisywanym dzisiaj przypadku. Spośród 71 różnych podatności, które Microsoft adresuje w aktualizacji zbiorczej tego miesiąca znajduję się „szczupak” – podatność o numerze CVE-2021-40449 , umożliwiająca przeprowadzenie eskalacji uprawnień w systemie Windows.
Podatności i informacje o nich są tak ważne, jak wiedza na temat tego, co jutro będziemy jedli na śniadanie i czy w naszej lodówce przypadkiem nie zamieszkały pingwiny. Nie ma chyba nic gorszego niż uczucie porannego głodu, a już tym bardziej obawa przed tym, że nasz system nie jest odpowiednio zabezpieczony. Mamy nadzieje, że czytając ten artykuł zajadacie właśnie pyszną kanapkę i popijacie dobrą kawą:)
Informacje o nowej luce zeroday na Windows i exploit
CVE-2021-40449 to usterka typu use-after-free w funkcji NtGdiResetDC w sterowniku Win32k. Podobnie jak w przypadku wielu innych luk Win32k, główną przyczyną tej luki jest możliwość ustawienia wywołań zwrotnych w trybie użytkownika i wykonania nieoczekiwanych funkcji API podczas uruchomiania tych wywołań zwrotnych. CVE-2021-40449 jest wyzwalany, gdy funkcja ResetDC jest wykonywana po raz drugi dla tego samego „uchwytu” podczas wywołania zwrotnego.
Wykorzystanie luki zostało wykryte i oznaczone przez Borisa Larina, łowcę exploitów zero-day z Kaspersky. Według firmy został on wykorzystany do atakowania serwerów Microsoft Windows.
„Oprócz znalezienia wirusa zero-day na wolności, przeanalizowaliśmy ładunek szkodliwego oprogramowania używanego wraz z exploitem zero-day i stwierdziliśmy, że warianty szkodliwego oprogramowania zostały wykryte w szeroko zakrojonych kampaniach szpiegowskich przeciwko firmom IT, wykonawcom wojskowym/obronnym oraz podmiotom dyplomatycznym”
– powiedział Larin i jego kolega Costin Raiu.
Kevin Breen, dyrektor Cyber Threat Research w Immersive Labs, mówi, że ta luka zdecydowanie powinna być priorytetem w łataniu.
„Uzyskanie [praw administratora] na zaatakowanym hoście to pierwszy krok do zostania administratorem domeny – i zapewnienia pełnego dostępu do sieci. Prawie każdy atak ransomware zgłoszony w tym roku obejmował wykorzystanie co najmniej jednej luki w eskalacji uprawnień w ramach przepływu pracy atakującego, więc jest to naprawdę poważna sprawa”.
Technologie firmy Kaspersky wykryły ataki z wykorzystaniem exploita podniesienia uprawnień na wielu serwerach Microsoft Windows na przełomie sierpnia i września 2021 roku. Exploit zawiera liczne ciągi debugowania starszego, znanego publicznie exploita wykorzystującego lukę CVE-2016-3309, ale bliższa analiza wykazała, że był to zero-day.
Odkryto, że wykorzystuje on wcześniej nieznaną lukę w sterowniku Win32k, a jej wykorzystanie w dużym stopniu opiera się na technice wycieku adresów bazowych modułów jądra systemu. Problem oczywiście został natychmiast zgłoszonyh do Microsoft.
Część łańcucha exploitów umożliwiająca ujawnienie informacji została zidentyfikowana jako nie omijająca granicy bezpieczeństwa i dlatego nie została naprawiona. Microsoft przypisał CVE-2021-40449 do luki use-after-free w sterowniku jądra Win32k, która została załatana 12 października 2021 r. w ramach październikowej łaty we wtorek.
Oprócz znalezienia wirusa zero-day, badacze przeanalizowali ładunek szkodliwego oprogramowania używanego wraz z exploitem dnia zerowego i stwierdzili, że warianty tego kodu zostały wykryte w szeroko zakrojonych kampaniach szpiegowskich przeciwko firmom IT, wojskowym kontrahentom oraz podmiotom dyplomatycznym.
Skupisko aktywności nazwane zostało jako MysterySnail. Podobieństwo kodu i ponowne wykorzystanie infrastruktury C2, które zostało odkryte przez badaczy, pozwoliło połączyć te ataki z aktorem znanym jako IronHusky i chińskojęzyczną aktywnością APT sięgającą 2012 roku.
Zagrożone systemy Windows
Odkryty exploit został napisany w celu obsługi następujących produktów Windows:
- Microsoft Windows Vista
- Microsoft Windows 7
- Microsoft Windows 8
- Microsoft Windows 8.1
- Microsoft Windows Server 2008
- Microsoft Windows Server 2008 R2
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows 10 (kompilacja 14393)
- Microsoft Windows Server 2016 (kompilacja 14393)
- Microsoft Windows 10 (kompilacja 17763)
- Microsoft Windows Server 2019 (kompilacja 17763)
Lista obsługiwanych produktów i obsługiwanych numerów kompilacji systemu Windows 10, wyraźna deklaracja systemów operacyjnych serwerów oraz fakt, że exploity zostały wykryte tylko w atakach na serwery, pozwalają sądzić, że exploit został opracowany i reklamowany jako rozwiązanie mające na celu podniesienie uprawnień na serwerach.
Pamiętajcie, że to tylko kwestia czasu, zanim te exploity zostaną wykorzystane na szeroką skalę, więc radzimy się upewnić, że luki, które one wykorzystują również zostały załatane.
Lista IoC
Poniżej prezentujemy IoC.
www[.]disktest[.]com
www[.]runblerx[.]com
http[.]ddspadus[.]com
MD5 e2f2d2832da0facbd716d6ad298073ca
SHA1 ecdec44d3ce31532d9831b139ea04bf48cde9090
SHA256 b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e