Скорошна уязвимост в Windows 10 се използва за превземане на компютри от групата FruityArmor, използвайки шрифтови (font) файлове.
Уязвимостта е от така наречените zero-day уязвимости. Става въпрос за [url=http://www.cve.mitre.org/cgi-bin/cvenam … -2016-3393“ target=“_blank“ rel=“nofollow]CVE-2016-3393[/url], за която от Майкрософт казват, че представлява дупка в сигурността при Graphics Device Interface (познат още като GDI или GDI+) компонента, която позволява на кибер-престъпниците да изпълняват код в машините на жертвите и да ги превземат.
Малко по-рано този месец, на 11-ти октомври, от Майкрософт закърпиха тази уязвимост, в бюлетина по сигурността MS16-120, след като бяха алармирани от специалисти от Kaspersky, които са открили, че тази уязвимост се използва в реалността.
Според Антон Иванов, който е експерт по сигурността към Kaspersky, екипът е открил zero-day уязвимостта чрез нов набор от технологии, които се използват в техния софтуер.
Благодарение на това от екипа са открили още 3 zero-day уязвимости, които засягат Adobe Flash Player. Уязвимостите са CVE-2016-0165, CVE-2016-4171 и CVE-2016-1010. Откриването на zero-day уязвимостта при Windows е първата, която се открива чрез новите инструменти на компанията.
Антон Иванов обяснява, че CVE-2016-3393 е част от браузър-базиран exploit chain, който се използва в кампании за кибер-шпиониране от откритата наскоро група FruityArmor.
Експертът от Kaspersky също така обяснява, че кибер-престъпниците от FruityArmor атакуват жертвата като я прилъгват да посети зловреден сайт, където се съдържа браузър-базираният експлойт. Ако първоначалният експлойт успее, след това вече се използва и уязвимостта CVE-2016-3393.
Атаката се осъществява под формата на модул, който бива стартиран в паметта. Целта на този модул е да разпакетира специално създаден шрифтов TTF файл, който съдържа CVE-2016-3393 експлойт. След разпакетирането модулът директно зарежда експлойт кода чрез AddFontMemResourceEx. След успешното използване на CVE-2016-3393, вторият етап се състои в това да се стартира PowerShell с повишени права чрез скрипт, който се свързва със сървър на атакуващите.
За новата FruityArmor група от Kaspersky обясняват, че тя се отличава от другите подобни групи с това, че нейните членове имат афинитет към използването на PowerShell. Антон Иванов казва, че групата използва само и единствено PowerShelL базиран малуер и дори командите, които получава малуерът са от PowerShell скриптове.
