今年 4 月，卡巴斯基專家發(fā)現(xiàn)了一系列針對(duì)多家公司的高度針對(duì)性攻擊，這些攻擊利用以前未發(fā)現(xiàn)的 Chrome 和 Microsoft Windows 零日漏洞攻擊鏈。

其中一個(gè)漏洞利用程序用于在Chrome瀏覽器中進(jìn)行遠(yuǎn)程代碼執(zhí)行，另一個(gè)則是針對(duì)最新以及最常見Windows 10版本進(jìn)行了微調(diào)的權(quán)限提升漏洞。后者利用了微軟Windows操作系統(tǒng)內(nèi)核中的兩個(gè)漏洞：信息泄露漏洞CVE-2021-31955和權(quán)限提升漏洞CVE-2021-31956。作為 “補(bǔ)丁星期二 ”的一部分，微軟今天已經(jīng)對(duì)這兩個(gè)漏洞進(jìn)行了修補(bǔ)。

[[406160]]

最近幾個(gè)月，在野外出現(xiàn)了一波利用零日漏洞進(jìn)行的高級(jí)威脅活動(dòng)。4月中旬，卡巴斯基專家發(fā)現(xiàn)了一波新的針對(duì)多家公司的高度針對(duì)性的漏洞利用攻擊，而且這些攻擊能夠讓攻擊者隱蔽地入侵目標(biāo)網(wǎng)絡(luò)。

卡巴斯基還未發(fā)現(xiàn)這些攻擊與任何已知威脅行為者之間的關(guān)聯(lián)。因此，他們將這個(gè)威脅行為者稱為PuzzleMaker。

所有攻擊都是通過Chrome進(jìn)行的，并利用了一個(gè)允許遠(yuǎn)程執(zhí)行代碼的漏洞。雖然卡巴斯基研究人員無法獲取到遠(yuǎn)程執(zhí)行漏洞的代碼，但從時(shí)間軸和可用性來看，攻擊者使用的應(yīng)該是現(xiàn)在已經(jīng)被修復(fù)的CVE-2021-21224漏洞。此漏洞與 V8 中的類型不匹配錯(cuò)誤有關(guān) -V8是 Chrome 和 Chromium瀏覽器使用的 一個(gè)JavaScript 引擎。該漏洞允許攻擊者利用Chrome的渲染進(jìn)程（負(fù)責(zé)用戶標(biāo)簽卡內(nèi)發(fā)生的進(jìn)程）。

但是，卡巴斯基專家還是發(fā)現(xiàn)了分析了第二個(gè)漏洞利用程序：一個(gè)權(quán)限提升漏洞利用，利用了微軟Windows操作系統(tǒng)內(nèi)核中兩個(gè)不同的漏洞。第一個(gè)漏洞為信息泄露漏洞（一種會(huì)泄露敏感內(nèi)核信息的漏洞），其漏洞編號(hào)為CVE-2021-31955。具體來說，該漏洞與 SuperFetch 相關(guān)——SuperFetch是在Windows Vista中首次引入的功能，旨在通過將常用的應(yīng)用程序預(yù)裝到內(nèi)存中來減少軟件的加載時(shí)間。

第二個(gè)漏洞是一種權(quán)限提升漏洞（允許攻擊者利用內(nèi)核并獲得對(duì)計(jì)算機(jī)的高等級(jí)訪問的漏洞）——該漏洞的編號(hào)為CVE-2021-31956，是一個(gè)基于堆的緩沖區(qū)溢出。攻擊者利用CVE-2021-31956漏洞與Windows通知設(shè)施（WNF）一起創(chuàng)建任意內(nèi)存讀/寫原語，并以系統(tǒng)權(quán)限執(zhí)行惡意軟件模塊。

一旦攻擊者使用Chrome和Windows漏洞利用程序在目標(biāo)系統(tǒng)中駐扎后，階段攻擊模塊就會(huì)從遠(yuǎn)程服務(wù)器下載并執(zhí)行一個(gè)更復(fù)雜的惡意軟件釋放器。釋放器會(huì)安裝兩個(gè)可執(zhí)行文件，并將其偽裝成Windows操作系統(tǒng)的合法文件。這兩個(gè)可執(zhí)行文件中的第二個(gè)是遠(yuǎn)程 shell 模塊，它能夠下載和上傳文件、創(chuàng)建進(jìn)程、休眠一定時(shí)間以及從受感染的系統(tǒng)中刪除自身。

作為補(bǔ)丁星期二的一部分，微軟今天發(fā)布了針對(duì)這兩個(gè) Windows 漏洞的補(bǔ)丁。

“雖然這些攻擊具有高度的針對(duì)性，但我們還未將其與任何已知威脅行為者聯(lián)系起來。因此，我們將這些攻擊幕后的行為者稱為“PuzzleMaker”，并密切關(guān)注安全領(lǐng)域的未來活動(dòng)或關(guān)于這個(gè)團(tuán)體的新見解。整體來看，最近我們發(fā)現(xiàn)好幾波由零日漏洞驅(qū)動(dòng)的高調(diào)的威脅活動(dòng)。這提醒我們，零日漏洞仍然是感染目標(biāo)的最有效方法。現(xiàn)在，這些漏洞已經(jīng)被公開，我們有可能看到這些漏洞在這個(gè)和其他威脅者的攻擊中的使用增加。這意味著對(duì)用戶來說，盡早從微軟下載最新的補(bǔ)丁非常重要，”卡巴斯基全球研究和分析團(tuán)隊(duì)（GReAT）高級(jí)安全研究員Boris Larin評(píng)論說。

卡巴斯基產(chǎn)品能夠檢測(cè)和保護(hù)上述漏洞被利用，同時(shí)也能攔截相關(guān)惡意軟件模塊。

為了保護(hù)您的企業(yè)和組織不受利用上述漏洞的攻擊危害，卡巴斯基專家建議：

及時(shí)更新您的Chrome瀏覽器和微軟Windows系統(tǒng)，并定期進(jìn)行更新。

使用一款可靠的端點(diǎn)安全解決方案，例如卡巴斯基網(wǎng)絡(luò)安全解決方案。該解決方案具有漏洞預(yù)防、行為檢測(cè)和修復(fù)引擎的功能，能夠回滾惡意行為。

安裝反APT和EDR解決方案，啟用威脅發(fā)現(xiàn)和檢測(cè)功能以及事件調(diào)查和及時(shí)修復(fù)功能。為您的SOC團(tuán)隊(duì)提供最新的威脅情報(bào)，并定期為他們提供專業(yè)培訓(xùn)。上述所有服務(wù)均可通過卡巴斯基專家安全框架獲取。

除了適當(dāng)?shù)亩它c(diǎn)保護(hù)之外，專用服務(wù)也可以幫助防御高調(diào)的攻擊?？ò退够芾頇z測(cè)和響應(yīng)服務(wù)能夠幫助在攻擊者實(shí)現(xiàn)其目標(biāo)之前，在早期階段識(shí)別和阻止攻擊。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司?？ò退够粩鄬⑸疃韧{情報(bào)和安全技術(shù)轉(zhuǎn)化成最新的安全解決方案和服務(wù)，為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費(fèi)者提供安全保護(hù)。公司提供全面的安全產(chǎn)品組合，包括領(lǐng)先的端點(diǎn)保護(hù)解決方案以及多種針對(duì)性的安全解決方案和服務(wù)，全面抵御復(fù)雜的和不斷演化的數(shù)字威脅。全球有超過4億用戶使用卡巴斯基技術(shù)保護(hù)自己，我們還幫助全球240,000家企業(yè)客戶保護(hù)最重要的東西。