Phát hiện lỗ hổng zero-day trong Desktop Window Manager
Đầu năm 2021, sau khi phân tích sâu hơn về lỗ hổng CVE-2021-1732 từng bị nhóm BITT APT khai thác, các nhà nghiên cứu của Kaspersky đã phát hiện thêm một lỗ hổng zero-day khác. Các chuyên gia cho biết lỗ hổng này chưa từng bị khai thác trước đây và không có liên hệ với bất kỳ tác nhân nguy hại đã biết.
Về cơ bản, lỗ hổng zero-day là một lỗi phần mềm chưa được biết đến. Trước khi được nhận dạng và phát hiện, các lỗ hổng này tạo cơ hội cho những kẻ tấn công tiến hành các hoạt động ngầm độc hại, gây ra những hậu quả khó lường.
Khi phân tích lỗ hổng CVE-2021-1732, các chuyên gia Kaspersky đã tìm thấy một lỗ hổng khác tương tự và đã thông báo cho Microsoft vào tháng 2/2021. Sau khi được xác nhận rằng đó thực sự là một lỗ hổng zero-day, lỗ hổng này được đặt tên là CVE-2021-28310.
Theo các nhà nghiên cứu, có khả năng lỗ hổng này đã được một vài tác nhân nguy hại sử dụng rộng rãi. Đây là lỗ hổng dạng leo thang đặc quyền (EoP), được phát hiện trong Desktop Window Manager, cho phép những kẻ tấn công thực thi mã tùy ý trên máy của nạn nhân. Lỗ hổng này có thể được sử dụng cùng với các lỗ hổng khác trong trình duyệt để tránh các công cụ sandbox hoặc để chiếm đặc quyền nhằm mục tiêu truy cập sâu hơn vào hệ thống.
Điều tra ban đầu của Kaspersky chưa tiết lộ toàn bộ chuỗi lây nhiễm, vì vậy vẫn chưa biết liệu lỗ hổng này được sử dụng đồng thời với một lỗ hổng zero-day khác, hay sử dụng kết hợp với các lỗ hổng đã biết và đã được vá.
Boris Larin, chuyên gia bảo mật tại Kaspersky cho biết: "Ban đầu, lỗ hổng này đã được phát hiện bởi công nghệ tiên tiến của chúng tôi nhằm ngăn chặn lỗ hổng và lưu trữ các phát hiện liên quan. Trên thực tế, trong một vài năm qua, chúng tôi đã đưa nhiều công nghệ chống khai thác lỗ hổng bảo mật vào các sản phẩm và các công nghệ này đã liên tục phát huy hiệu quả. Chúng tôi sẽ tiếp tục tăng cường khả năng phòng thủ cho người dùng bằng cách cải thiện công nghệ của Kaspersky cũng như làm việc với các nhà cung cấp bên thứ ba để vá các lỗ hổng, góp phần giúp môi trường mạng trở nên an toàn hơn cho tất cả mọi người."
Để phòng ngừa và xử lý mối đe dọa này, các biện pháp bảo mật được khuyến nghị gồm: Cài đặt các bản vá lỗi cho lỗ hổng càng sớm càng tốt. Khi bản vá đã được cài đặt, các tác nhân nguy hại sẽ không thể tiếp tục lạm dụng các lỗ hổng.
Tính năng quản lý lỗ hổng và bản vá trong Kaspersky Threat Intelligence Portal có thể giúp đơn giản hóa đáng kể công việc của các nhà quản lý an ninh bảo mật CNTT.
SOC cần được quyền truy cập thông tin mới nhất về các mối đe dọa (Threat Intelligence - TI). Kaspersky Anti Targeted Attack Platform cho phép truy cập thông tin mới nhất về TI của Kaspersky, cung cấp dữ liệu về các trường hợp tấn công mạng và kết quả phân tích của Kaspersky trong hơn 20 năm qua.
Ngoài áp dụng giải pháp bảo vệ điểm cuối quan trọng, hãy triển khai một giải pháp bảo mật ở cấp độ doanh nghiệp có thể phát hiện sớm các mối đe dọa cao cấp trong mạng lưới.
ND