2021年初,卡巴斯基研究人员在对已经被上报的BITTER高级可持续威胁组织使用的CVE-2021-1732漏洞进行深入分析后,发现了另一个零日漏洞。目前,安全专家还未能将这种漏洞与任何已知的威胁行为者联系起来。
零日漏洞从根本上说是一种未知的软件缺陷。一旦被发现,能够让攻击者在暗处进行恶意活动,造成意想不到的破坏性后果。
在分析CVE-2021-1732漏洞时,卡巴斯基专家发现了另一个零日漏洞,并于2月将其上报给微软公司。在确认这的确是一个零日漏洞后,该漏洞获得的编号为CVE-2021-28310。
根据研究人员的分析,该漏洞被用于野外的正式攻击,并且可能被多个威胁行为者所使用。这是一个在桌面窗口管理器中发现的权限提升(EoP)漏洞,能够让攻击者在受害者计算机上执行任意代码.
该漏洞很有可能与其他浏览器漏洞一起使用,以逃避沙盒的检测或获取系统权限以进行进一步访问。
卡巴斯基的初步调查并没有揭示其完整的感染链,所以目前还不知道该漏洞是否与其他零日漏洞或与已知的、打过补丁的漏洞结合使用。
“这个漏洞最初是被我们先进的漏洞入侵防护技术以及相关的检测记录发现的。事实上,过去几年,我们在产品中内置了众多的漏洞防护技术,该技术已经检测出多个零日漏洞,一次次证明了其有效性。我们将继续通过增强技术和与第三方厂商合作修补漏洞,提高用户的防御能力,让每个人都可以享受到更安全的互联网,”卡巴斯基安全专家Boris Larin评论说。
卡巴斯基情报报告服务客户可以获取更多有关BITTER APT以及相关感染迹象的详情,请联系:intelreports@kaspersky.com.
修复权限提升漏洞CVE-2021-28310的补丁已经于2021年4月13日发布。
卡巴斯基产品将这种漏洞检测为以下结果:
HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
为了确保安全,远离这些威胁,卡巴斯基建议采取以下安全措施:
尽快安装针对最新漏洞的补丁。一旦下载和安装了补丁,威胁行为者就无法再滥用这些漏洞了。
端点保护解决方案中的漏洞和补丁管理功能可以大大简化IT安全管理人员的任务。
为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
除了采取基础的端点保护外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
更多有关这个最新发现的漏洞的详情,请访问Securelist查看完整报告。
要更深入地了解在Microsoft Windows中检测到这些和其他零日漏洞的技术,可以观看已录制的卡巴斯基网络研讨会。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。