A Microsoft javítja a nulla napi visszaéléseket a MysterySnail RAT támadásokban
A tegnapi javító kedden a Microsoft 71 biztonsági rést és maroknyi nulla napos hibát javított termékeiben. Az egyik javított sebezhetőség egy privilégiumi eszkalációs hiba volt, amelyet állítólag már használtak a vadonban a MysterySnail nevű rosszindulatú eszköz terjesztésére.
A MysterySnail rosszindulatú programot távoli hozzáférésű trójai vagy RAT azonosítónak találták. Biztonsági kutatók szerint a MysterySnail -t a nyugati szervezeteket célzó kiberkém támadásokban használták. A célpontok között vannak informatikai cégek és védelmi vállalkozók.
Korábban, 2021 -ben a MysterySnail -t támadások sorozatában használták az említett célpontok ellen. A kutatók úgy vélik, hogy a támadások egy kínaiul beszélő, fejlett, fenyegető fenyegetőktől származnak, valószínűleg az IronHusky kódnévvel.
A támadások az akkor még nem javított Microsoft Windows szerverrendszereket célozták meg. A támadásokkal visszaélő biztonsági rést CVE-2021-40449 néven jelölték meg, és Win32k Elevation of Privilege-ként írják le.
Az ok, amiért a kutatók úgy vélik, hogy a támadások az IronHusky APT munkája voltak, az az, hogy a MysterySnail távoli hozzáférésű trójai hasznos terhében nagyon hasonló kódrészletek voltak. A rosszindulatú programok az IronHusky által általában használt parancs- és vezérlőszerverek infrastruktúráját is felhasználták, a kutatók észrevették.
Bár a MysterySnail RAT a legtöbb szabvány szerint nem különösebben kifinomult, tartalmaz parancskezelési képességeket, amelyek lehetővé teszik a rendszerfolyamatok leállítását, az áldozat rendszeren lévő fájlok kezelését, új proxy kapcsolatok megnyitását és új folyamatok létrehozását a kezelők igényei szerint.
A sérülékenységet a Win32k kernelben található, használat utáni hibának is nevezik. A használat utáni problémák a program nem megfelelő használatához és a memória felszabadításához kapcsolódnak.