„Microsoft“ pataiso nulinės dienos piktnaudžiavimą „MysterySnail RAT“ atakose

Vakarykštėje pataisos antradienį „Microsoft“ savo produktuose užtaisė 71 pažeidžiamumą ir keletą nulinės dienos klaidų. Vienas iš ištaisytų pažeidžiamumų buvo privilegijų didinimo klaida, kuri, kaip pranešama, jau buvo naudojama laukinėje gamtoje skleidžiant kenkėjišką įrankį, vadinamą „MysterySnail“.

„MysterySnail“ kenkėjiška programa buvo nustatyta kaip nuotolinės prieigos Trojos arklys arba RAT. Pasak saugumo tyrinėtojų, „MysterySnail“ buvo panaudota kibernetinio šnipinėjimo atakoms, nukreiptoms į Vakarų subjektus. Tarp taikinių yra IT įmonės ir gynybos rangovai.

Anksčiau, 2021 m., „MysterySnail“ buvo naudojama išpuolių prieš šiuos taikinius serijoje. Mokslininkai mano, kad išpuoliai kilo iš kiniškai kalbančio pažengusio nuolatinio grėsmės veikėjo, greičiausiai vieno kodiniu pavadinimu „IronHusky“.

Atakos buvo nukreiptos į tuo metu nepataisytas „Microsoft Windows“ serverių sistemas. Puolimas, kuriuo piktnaudžiaujama išpuolių metu, pažymėtas kaip CVE-2021-40449 ir apibūdinamas kaip „Win32k“ privilegija.

Priežastis, kodėl tyrėjai mano, kad išpuoliai buvo „IronHusky APT“ darbas, yra ta, kad „MysterySnail“ nuotolinės prieigos trojano naudingojoje apkrovoje buvo labai panašaus kodo gabalai. Tyrėjai pastebėjo, kad kenkėjiška programa taip pat naudojo komandų ir valdymo serverių infrastruktūrą, kurią paprastai naudoja „IronHusky“.

Nors „MysterySnail RAT“ nėra ypač sudėtinga pagal daugelį standartų, ji apima komandų galimybes, leidžiančias išjungti sistemos procesus, tvarkyti aukų sistemos failus, atidaryti naujus įgaliotojo serverio ryšius ir sukurti naujus procesus pagal operatorių poreikius.

Šis pažeidžiamumas taip pat apibūdinamas kaip klaida be naudojimo, kuri yra „Win32k“ branduolyje. Naudojimo be naudojimo problemos yra susijusios su netinkamu naudojimu ir atminties atlaisvinimu veikiant programai.