Eksperci z Kaspersky Lab wykryli lukę w technologii Silverlight wykorzystywanej do wyświetlania treści multimedialnych na stronach WWW. Błąd ten umożliwia atakującemu uzyskanie pełnego dostępu do podatnego komputera i wykonanie szkodliwego kodu w celu kradzieży poufnych informacji oraz przeprowadzenia innych niebezpiecznych działań. Opisywana luka (CVE-2016-0034) została załatana wraz z najnowszą aktualizacją opublikowaną przez Microsoft 12 stycznia 2016 r. Odkrycie było wynikiem dochodzenia, które rozpoczęło się ponad pięć miesięcy temu od artykułu opublikowanego przez Ars Technica.
Latem 2015 r. w mediach pojawiła się informacja o ataku hakerskim na firmę Hacking Team (producenta "legalnego oprogramowania spyware"). W jednym z artykułów na ten temat, opublikowanym w Ars Technica, wspominano o wycieku rzekomej korespondencji pomiędzy przedstawicielami Hacking Team a Witalijem Toropowem, niezależnym twórcą szkodliwych programów wykorzystujących luki z zabezpieczeniach (tzw. exploity). Artykuł wspominał m.in. o wiadomościach, w których Toropow oferował firmie Hacking Team sprzedaż szczególnie interesującego exploita zero-day (wykorzystującego do infekcji lukę, dla której nie opublikowano jeszcze poprawek bezpieczeństwa): był to szkodliwy kod atakujący poprzez lukę w zabezpieczeniach technologii Microsoft Silverlight, która została zidentyfikowana cztery lata wcześniej i nadal pozostawała niezałatana. Informacja ta wzbudziła zainteresowanie badaczy z Kaspersky Lab.
Artykuł nie zawierał żadnych dodatkowych informacji na temat exploita, dlatego badacze zaczęli dochodzenie od nazwy sprzedawcy. Wkrótce ustalili, że osoba przedstawiająca się jako Witalij Toropow to współautor Open Source Vulnerability Database (OSVDB) - miejsca, w którym każdy mógł umieścić informacje na temat luk w zabezpieczeniach. Analizując jego profil publiczny na OSVBD.org, badacze z Kaspersky Lab odkryli, że w 2013 r. Toropow opublikował informacje na temat błędu w technologii Silverlight. Dotyczył on starej, znanej luki w zabezpieczeniach, która została już załatana. Zawierał jednak dodatkowe dane, które pozwoliły badaczom z Kaspersky Lab zorientować się, w jaki sposób autor exploita zwykle pisze kod.
Podczas analizy eksperci z Kaspersky Lab zwrócili uwagę na kilka unikatowych ciągów w kodzie. Na podstawie tych informacji stworzono kilka reguł wykrywania dla technologii ochrony Kaspersky Lab: gdy użytkownik, który zgodził się udostępnić w chmurze Kaspersky Security Network (KSN) dane dotyczące szkodliwej aktywności na swoim komputerze, trafił na szkodliwe oprogramowanie wykazujące zachowanie uwzględnione w tych regułach, system oznaczał plik jako wysoce podejrzany i wysyłał powiadomienie do badaczy w celu przeprowadzenia analizy. Taktyka ta opierała się na prostym założeniu: jeśli Toropow próbował sprzedać exploita zero-day firmie Hacking Team, prawdopodobnie proponował to również innym dostawcom oprogramowania szpiegującego (tzw. spyware). W rezultacie inne kampanie cyberszpiegowskie mogły aktywnie wykorzystywać ten szkodliwy kod w celu atakowania i infekowania niczego nieświadomych ofiar.
Założenie to okazało się słuszne. Kilka miesięcy po wprowadzeniu specjalnych reguł wykrywania jeden z klientów Kaspersky Lab stał się celem ataku, w którym wykorzystano podejrzany plik o właściwościach szukanych przez analityków. Kilka godzin później ktoś (prawdopodobnie ofiara ataków) z Laosu wysłał plik o tych samych właściwościach celem wyszukania w nim zagrożeń. W wyniku analizy ataku eksperci z Kaspersky Lab ustalili, że w rzeczywistości wykorzystywał on nieznany błąd w technologii Silverlight. Informacje o tym błędzie zostały niezwłocznie przekazane firmie Microsoft w celu potwierdzenia.
"Chociaż nie wiemy, czy wykryty przez nas exploit jest w rzeczywistości tym, o którym wspominano w artykule Ars Technica, mamy mocne podstawy, aby przypuszczać, że tak jest. Porównując analizę tego pliku z wcześniejszą pracą Witalija Toropowa, uważamy, że autor niedawno wykrytego exploita i autor kodu opublikowanego w OSVDB w imieniu Toropowa to ta sama osoba. Jednocześnie nie wykluczamy całkowicie możliwości, że znaleźliśmy kolejnego exploita zero-day w technologii Silverlight. Ogólnie, badanie to pomogło uczynić cyberprzestrzeń nieco bezpieczniejszym miejscem, dzięki wykryciu nowej podatności i ujawnieniu jej w odpowiedzialny sposób. Zachęcamy wszystkich użytkowników produktów firmy Microsoft, aby niezwłocznie uaktualnili swoje systemy w celu załatania tej luki" - powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący omawianą lukę jako HEUR:Exploit.MSIL.Agent.gen.
Szczegóły techniczne dotyczące omawianej luki znajdują się na stronie http://r.kaspersky.pl/GnmQP.
Źródło informacji: firma Kaspersky Lab