Windows中的IE11零日漏洞链接到有针对性的攻击中

8月13日早间消息：据外媒体报道，一位高级威胁参与者利用了微软于周二在今年年初针对性攻击中修补的两个零日漏洞之一。攻击者将Windows中的两个漏洞链接在一起，这两个漏洞在攻击发生时都不为人所知，目的是实现远程代码执行并在受感染计算机上增加特权。一位高级威胁参与者利用了微软于周二在今年年初针对性攻击中修补的两个零日漏洞之一。

攻击者将Windows中的两个漏洞链接在一起，这两个漏洞在攻击发生时都不为人所知，目的是实现远程代码执行并在受感染计算机上增加特权。

IE-Windows 10之门

恶意活动发生在5月，并针对一家韩国公司。卡巴斯基的研究人员认为，这可能是一家DarkHotel行动，一个黑客组织可能以一种或多种形式从事了十多年。

该攻击被称为“ Operation PowerFall”，该攻击依赖于Internet Explorer 11中的一个远程代码执行(RCE)漏洞(现在被跟踪为CVE-2020-1380)以及Windows GDI Print / Print Spooler API中的一个漏洞，该漏洞允许特权升级，现在被识别为CVE-2020-0986。

RCE错误是Internet Explorer自版本9开始的JavaScript引擎中的免费使用。IE10继续存在于Windows 10上，以支持依赖于它的各种功能(例如Microsoft Office，以显示嵌入式视频内容)的应用程序。在文档中)。

卡巴斯基的Boris Larin于6月8日发现并向Microsoft报告了CVE-2020-1380，并于今天发布了概念证明代码以触发该漏洞，并提供了技术说明以帮助更好地理解它。

尽管“通用漏洞评分系统”(CVSS)的严重性得分是7.5(满分10)，但Microsoft仍将其评为Windows 10计算机。

演员快速使用了0天的详细信息

在远程访问目标计算机之后，威胁行动者使用了一个模块，该模块创建了一个名为“ ok.exe”的文件，该文件利用CVE-2020-0986以更高的特权运行恶意代码。

微软于2019年12月通过趋势科技的零日倡议(ZDI)从匿名来源收到有关此漏洞的报告，但将补丁发布推迟到6月9日。

经过Microsoft半年的不作为后，ZDI于2020年5月19日发布了一份咨询报告。Larin说，该问题在次日被PowerFall背后的参与者利用。

卡巴斯基技术检测到并阻止了攻击，然后再将有效载荷降落到受感染的机器上，这使研究人员没有机会进行分析并将其链接到已知的对手。

但是，这些漏洞利用程序与过去分析的漏洞利用程序有一些相似之处，这表明DarkHotel可能参与其中。

Larin告诉BleepingComputer，尽管没有什么数据可以确定初始感染媒介，但“可能有可能利用恶意Office文档进行入侵，因为MS Office使用IE来显示Web内容。”