PowerFall攻击活动中利用Windows和IE 0day漏洞 – 作者:freebuf1006

卡巴斯基披露称，2020年5月阻止了一次利用Windows和IE 0day漏洞针对韩国公司的攻击活动。

卡巴斯基将该活动命名为“Operation PowerFall”，该活动可能是Darkhotel发起的。Darkhotel是一个知名的攻击组织，攻击目标是朝鲜企业，被认为具有韩国背景。

但是，卡巴斯基表示目前尚无确切的证据，之所以将Operation PowerFall与Darkhotel联系在一起，是因为与之前的漏洞利用存在相似之处。

目前已经修复了攻击中利用的漏洞，但首次被利用时，漏洞的状态为0day。

其中，CVE-2020-1380是微软本周通过2020年8月补丁程序更新修复的0day漏洞之一，该漏洞影响Internet Explorer 11，通过诱使目标用户打开钓鱼网站、文档，或者进行恶意攻击，成功利用该漏洞后可执行远程代码。

但是，由于Internet Explorer的隔离机制使得该漏洞的影响很小，这就是攻击者将该漏洞与CVE-2020-0986漏洞一起使用的原因。CVE-2020-0986是一个提权漏洞，影响Windows所有版本。

微软已在6月修复了这个Windows漏洞，但趋势科技ZDI在5月就披露了该漏洞以及其他4个未修复的Windows漏洞的详细信息。ZDI于2019年12月向微软披露了CVE-2020-0986，但微软未能在5月发布补丁。

卡巴斯基表示，ZDI披露一天后，该Windows漏洞就被利用了。

卡巴斯基指出，该漏洞利用链针对最新的Windows 10版本。此前也有类似的漏洞利用链，在Operation WizardOpium活动中，同时利用了Chrome 0day和Windows 0day漏洞，且该活动与Darkhotel存在联系。但是，WizardOpium活动中的漏洞不适用于最新的Windows 10版本。

卡巴斯基分析攻击活动发现，攻击者利用漏洞发送恶意软件，但由于其安全产品阻止了有效载荷的下载，因此无法分析最终的有效载荷。

参考文献：https://www.securityweek.com/windows-and-ie-zero-day-vulnerabilities-chained-powerfall-attacks

来源：freebuf.com 2020-08-13 22:53:40 by: freebuf1006