Kaspersky Lab mới đây đã công bố việc phát hiện ra lỗi bảo mật Zero-day CVE-2016-3393, từ đó giúp Microsoft phát hành bản vá bảo mật MS16-120.
Bản vá bảo mật này nhằm khắc phục những điểm yếu chết người được phát hiện tồn tại trong hệ điều hành Windows, bộ ứng dụng Microsoft Office, Skype cho doanh nghiệp, Silverlight và Microsoft Lync. Trong đó lỗi bảo mật CVE-2016-3393 đã được Kaspersky Lab báo cáo cho Microsoft vào tháng 9 năm nay.
Lỗi bảo mật này được kỹ sư Anton Ivanov của Kaspersky Lab phát hiện cách đây vài tháng sau những nghiên cứu kỹ thuật để nhận diện và ngăn chặn các cuộc tấn công vào những lỗi zero-day.
Kỹ thuật mới này đã giúp Kaspersky Lab phát hiện ra những lỗi bảo mật tồn tại trong Adobe Flash như CVE-2016-1010 và CVE-2016-4171. Hai lổ hổng EoP (Elevation of Privilege – giúp tăng quyền hạn) cũng được phát hiện là CVE-2016-0165 và CVE-2016-3393.
Lỗi CVE-2016-3393 cũng được một nhóm APT mà Kaspersky Lab gọi là FruityArmor sử dụng. Nhóm này thường cấy những malware được viết và tất cả những dòng lệnh từ kẻ thực thi gửi đi cũng từ dạng script của PowerShell.
FruityArmor thường dựa vào những lỗ hổng trên trình duyệt để xâm nhập từ xa vào máy tính nạn nhân. Nhưng vì nhiều trình duyệt hiện được xây dựng xung quanh sandbox, tính năng được dùng để cài đặt riêng các ứng dụng mới. Nên FruityArmor sử dụng thêm lỗ hổng EoP là CVE-2016-3393. Nhóm này sẽ cấy một font TTF chứa tập tin khai thác lỗi tăng quyền hạn và có thể thực thi từ bộ nhớ, từ đó thực thi mã lệnh PowerShell để kết nối vào máy chủ C&C.
Kaspersky Lab đã phát hiện lỗi này và đánh dấu với tên
- HEUR:Exploit.Win32.Generic
- PDM:Exploit.Win32.Generic
Chi tiết kỹ thuật về lỗ hổng này có tại website: https://securelist.com/blog/research/76396/windows-zero-day-exploit-used-in-targeted-attacks-by-fruityarmor-apt/