חוקרי חברת קספרסקי זיהו ניצול זדוני (exploits) של שתי חולשות "יום אפס" (zero-day) בלתי מוכרות עד כה, שפרצו למחשבים באמצעות מערכת Windows 10 ובאמצעות דפדפן אינטרנט אקספלורר 11, הגירסה החדשה ביותר של הדפדפן. חולשת יום אפס היא פרצה בהגנה, שאינה מוכרת עד השלב שבו נעשה בה שימוש, ולכן היא מאפשרת לבצע התקפה זדונית, כשמערכות ההגנה אינו מסוגלות לעצור אותה.
2 צפייה בגלריה
גיבוי נתוניםגיבוי נתונים
ההגנה קורסת מול מתקפת יום אפס
(צילום: shutterstock)
מארק לחטיק, חוקר אבטחה בכיר בחטיבת המחקר הבינלאומית של קספרסקי, אומר כי החברה דיווחה על הפרצות למיקרוסופט: "הם לא הכירו את אחת החולשות ואת השנייה הם הכירו אבל לא תיקנו. בעקבות המידע חברת מיקרוסופט שחררה שני עדכונים לפרצות, ביוני ובאוגוסט, וכרגע מומלץ לעדכן את גרסת ה-Windows כדי להיות מוגנים".
הפרצות החדשות התגלו כשמערכת הניטור האוטומטי של קספרסקי זיהתה ועצרה התקפה מטורגטת על חברה מדרום קוריאה. ניתוח מעמיק העלה, שההתקפה השתמשה בשתי החדירות, שהיו בלתי מוכרות עד כה, כשהן משורשרות זו אחר זו: ניצול חולשה לא מוכרת שמאפשרת להפעיל קוד מרחוק באינטרנט אקספלורר וניצול חולשה במנגנון ההדפסה לצורך העלאת ההרשאות (EOP).
2 צפייה בגלריה
וירוסים מסוכניםוירוסים מסוכנים
וירוסים מסוכנים
(צילום: shutterstock)
על בסיס השוואה למתקפות דומות בעבר, חוקרי קספרסקי מעריכים שההתקפה בדרום קוריאה נעשתה על ידי קבוצת פשעי הסייבר DarkHotel, הפועלת בגיבוי מדינתי קוריאני, ולצורך השגת יעדים מודיעיניים ולא כלכליים. "שימוש ביכולות כאלה שהיצרן לא מכיר מצריכים מחקר והבנה מאוד מעמיקים של תוכנות שמשתמשים בהם ביום יום. כדי למצוא את החולשות האלה צריך משאבים משמעותיים" אומר לחטיק. קספרסקי עוקבת אחר פעילות קבוצת DarkHotel לאורך חמש השנים האחרונות וזיהתה ניצול של מספר גדול של חולשות יום אפס.
מוסיף לחטיק: "שתי החולשות מאפשרות התקנה והרצה של נוזקה מתוך דפדפדן אקספלורר 11 בצורה שקטה ומסוכנת. דמיין קורבן, שגולש לאתר דרך הדפדפן ובלי שהוא יודע במהלך הגלישה מושתל קובץ נוזקה בדפדפן ויורד בלי ידיעתו. זו הסיבה למה הדבר הזה כה מסוכן".
בוריס לארין, האנליסט בקספרסקי שזיהה את המתקפה, אמר: "חשיפת מתקפה המבוססת על חולשות יום אפס חדשות היא תמיד אירוע מרגש לקהילת אבוטחת הסייבר. החשיפה מחייבת את הספקים לייצר תיקון (patch) באופן מיידי ואת המשתמשים לעדכן את גירסאות הגנת המערכות שלהם. מה שיוצא דופן כאן היא העובדה שמעשה שימוש בשתי חולשות יום אפס בבת אחת, תוך חדירה למערכת windows 10 המעודכנת. זה ממחיש עד כמה יכולת התוקפים מתגברת וכמה חשובה ההתגוננות מפניהם".