本文分析了2018年被APT组织利用的两个Windows重大0day漏洞,CVE-2018-8453和CVE-2018-8589,详细介绍了漏洞的利用方式、影响范围及微软的修复措施。
CVE-2018-8453
此漏洞最初由卡巴斯基实验室观测到在野利用,经过后续研究发现其被APT组织FruityArmor用于攻击活动中,这也是该组织第三次利用0day漏洞(CVE-2016-3393、CVE-2018-5002 )。不过此漏洞不能导致远程代码执行,只能用于感染机器后实现提权。
截止目前,研究人员只发现一小部分攻击中使用了该漏洞利用,该漏洞利用被打包到一个恶意软件安装器中配合使用。安装器需要系统权限才能安装payload,payload是一个复杂的植入,攻击者用它来达到在受害者机器中驻留的目的。其中的一些特征包括:
△用SMBIOS UUID 的SHA-1和AES-256-CBC加密payload(如果没有SMBIOS UUID,就不能在机器上解密payload);
△使用微软BITS(Background Intelligent Transfer Service后台智能传输服务)与C2进行通信;
△将主payload文件以随机名保持在硬盘上,含有文件名哈希值的加载器会尝试比较Windows目录中所有文件的哈希来找出payload。
该漏洞已经在上月由微软发布更新后修复了。
CVE-2018-8589
这是一个被积极利用的Windows特权升级漏洞。通过身份验证的攻击者可以利用该漏洞在本地用户上下文中执行任意代码,它将Windows处理调用的方式与win32 .sys绑定在一起。
该漏洞可导致攻击者提升在受攻陷 Windows 7 或Windows Server 2008 系统上的权限。研究者观测发现,威胁者在恶意软件安装程序的第一阶段就已经开始执行该利用,但目前尚不清楚恶意软件是如何传播的。
目前该漏洞被利用的次数有限,且所有受害者均位于中东国家。但观察者——卡巴斯基实验室表示,该漏洞已经被APT组织利用发起攻击。
该漏洞已经在本月初由微软发布更新后修复了。
以上两个漏洞都和 Windows 的 Win32k 组件相关,而且都被用于攻击中东国家,但目前尚不清楚二者之间是否存在关联。但可以看出,2018年下半年已成为 0day 漏洞的高发季。网络威胁攻击者的这种间歇式特点提醒我们,企业必须拥有必要工具和解决方案来保护自身免受此类复杂威胁的攻击。
*参考来源:Kaspersky Lab,青松编译,转载请注明。
扫一扫
947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
