卡巴斯基披露称,2020年5月阻止了一次利用Windows和IE 0day漏洞针对韩国公司的攻击活动。
卡巴斯基将该活动命名为“Operation PowerFall”,该活动可能是Darkhotel发起的。Darkhotel是一个知名的攻击组织,攻击目标是朝鲜企业,被认为具有韩国背景。
但是,卡巴斯基表示目前尚无确切的证据,之所以将Operation PowerFall与Darkhotel联系在一起,是因为与之前的漏洞利用存在相似之处。
目前已经修复了攻击中利用的漏洞,但首次被利用时,漏洞的状态为0day。
其中,CVE-2020-1380是微软本周通过2020年8月补丁程序更新修复的0day漏洞之一,该漏洞影响Internet Explorer 11,通过诱使目标用户打开钓鱼网站、文档,或者进行恶意攻击,成功利用该漏洞后可执行远程代码。
但是,由于Internet Explorer的隔离机制使得该漏洞的影响很小,这就是攻击者将该漏洞与CVE-2020-0986漏洞一起使用的原因。CVE-2020-0986是一个提权漏洞,影响Windows所有版本。
微软已在6月修复了这个Windows漏洞,但趋势科技ZDI在5月就披露了该漏洞以及其他4个未修复的Windows漏洞的详细信息。ZDI于2019年12月向微软披露了CVE-2020-0986,但微软未能在5月发布补丁。
卡巴斯基表示,ZDI披露一天后,该Windows漏洞就被利用了。
卡巴斯基指出,该漏洞利用链针对最新的Windows 10版本。此前也有类似的漏洞利用链,在Operation WizardOpium活动中,同时利用了Chrome 0day和Windows 0day漏洞,且该活动与Darkhotel存在联系。但是,WizardOpium活动中的漏洞不适用于最新的Windows 10版本。
卡巴斯基分析攻击活动发现,攻击者利用漏洞发送恶意软件,但由于其安全产品阻止了有效载荷的下载,因此无法分析最终的有效载荷。
参考文献:https://www.securityweek.com/windows-and-ie-zero-day-vulnerabilities-chained-powerfall-attacks
来源:freebuf.com 2020-08-13 22:53:40 by: freebuf1006
请登录后发表评论
注册