Kaspersky descoperă o vulnerabilitate zero-day într-un popular browser web, exploatată de un grup de atacatori

Tehnologiile automate Kaspersky au detectat o nouă vulnerabilitate exploatată, într-un popular browser web. Kaspersky a denumit vulnerabilitatea CVE-2019-13720 și a raportat-o către ​​Google, care a publicat un patch. După examinarea exploit-ului PoC (Proof of concept) furnizat, Google a confirmat că este o vulnerabilitate zero-day.

Vulnerabilitățile din tip zero-day sunt bug-uri de software necunoscute care pot fi exploatate de atacatori pentru a provoca daune serioase și neașteptate. Noul exploit este folosit în atacuri cu o infectare de tip waterhole într-un portal de știri de limbă coreeană. Pe pagina principală este introdus un cod JavaScript infectat, care, la rândul său, încarcă un script de profiling de pe un site aflat la distanță, pentru a verifica în continuare dacă sistemul victimei ar putea fi infectat, examinând variante de date de autentificare ale utilizatorului browser-ului.

Vulnerabilitatea încearcă să exploateze eroarea prin browser-ul Google Chrome și script-ul verifică dacă este folosită versiunea 65 sau una ulterioară. 

Exploit-ul detectat a fost utilizat în ceea ce experții Kaspersky numesc „Operațiunea WizardOpium”. Anumite asemănări din cod indică o posibilă legătură între această campanie și atacurile Lazarus. În plus, profilul site-ului vizat este similar cu cel constatat în atacurile anterioare DarkHotel, care au implementat recent atacuri cu indicii false similare.

Vulnerabilitatea exploatată a fost detectată prin tehnologia Kaspersky Exploit Prevention, încorporată în majoritatea produselor companiei.

„Găsirea unui nou zero-day în Google Chrome demonstrează încă o dată că doar colaborarea dintre comunitatea de securitate și dezvoltatorii de software, precum și investițiile constante în tehnologiile de prevenire a exploit-urilor, ne pot feri de atacuri neașteptate și ascunse”, a spus Anton Ivanov, expert în securitate la Kaspersky.

Produsele Kaspersky detectează exploit-ul ca PDM: Exploit.Win32.Generic.

Kaspersky recomandă luarea următoarelor măsuri de securitate:

• Instalați patch-ul Google pentru noua vulnerabilitate cât mai curând posibil.
• Asigurați-vă că actualizați periodic software-ul folosit în organizație și de fiecare dată când este lansat un nou patch de securitate. Produsele de securitate cu capacitatea de evaluare a vulnerabilităților și de management al patch-urilor pot ajuta la automatizarea acestor procese.
• Alegeți o soluție de securitate eficientă, care să aibă funcții de detecție bazate pe comportament, pentru o protecție eficientă împotriva amenințărilor cunoscute și necunoscute, inclusiv a exploit-urilor.
• Pe lângă adoptarea unei protecții esențiale endpoint, implementați o soluție de securitate corporate de calitate, care detectează amenințări avansate la nivelul rețelei într-o etapă timpurie.
• Asigurați-vă că echipa de securitate are acces la cele mai recente informații despre amenințările cibernetice. 
• Nu în ultimul rând, asigurați-vă că personalul este instruit pentru a înțelege și implementa elementele de bază ale protecției cibernetice.

Pentru detalii suplimentare despre noul exploit, consultați raportul de pe Securelist.