|
Windows GDI缺陷导致PowerShell攻击.远程控制软件,灰鸽子下载.
APT组FruityArmor利用Windows GDI内存处理打破浏览器沙箱并在目标攻击中启动PowerShell
根据卡巴斯基实验室的说法,微软在最新一轮安全更新中修补的Windows GDI(图形设备界面)中的一个关键漏洞被一个复杂的攻击组利用来逃避基于浏览器的沙箱并远程执行恶意代码。
Windows GDI是一种API,可帮助应用程序在视频显示器和打印机上使用图形和格式化文本。远程代码执行缺陷源于GDI如何处理内存中的对象(CVE-2016-3393),并且该问题已在关键公告(MS16-120)中解决,Microsoft说。此漏洞影响Windows操作系统,Microsoft Office 2007和Office 2010,Skype for Business 2016,Silverlight,.Net Framework,Microsoft Lync 2013和Microsoft Lync 2010的所有受支持版本。
微软说,攻击者可以通过欺骗用户访问恶意网站并点击诱骗链接,打开作为电子邮件附件发送的恶意制作的文档或执行特别装载的文件来利用此漏洞。
卡巴斯基实验室研究员Anton Ivanov发现,已知的高级持续性威胁(APT)组FruityArmor正在将此漏洞作为基于浏览器的漏洞链的一部分,以获得提升的权限并逃脱浏览器沙箱。 FruityArmor依靠Windows Management Instrumentation存储来维护受感染机器上的持久性,并依靠PowerShell执行其攻击。
“由于许多现代浏览器是围绕沙箱构建的,一个单独的漏洞通常不足以允许完全访问目标机器,”伊万诺夫在卡巴斯基实验室的安全列表摘要写道。
FruityArmor欺骗受害者访问包含基于浏览器的漏洞的恶意页面。这个模块的主要目标是加载一个特制的TTF字体文件包含漏洞来触发Windows GDI缺陷。通过成功的妥协,第二阶段有效负载使用提升的特权来使用计费表式脚本执行PowerShell,以便连接到命令和控制服务器并接收其他指令和可执行文件。
Ivanov说,由C&C运营商发送的主要恶意软件植入和命令都是在PowerShell中编写的。植入物和恶意的TTF字体驻留并在内存中执行,使其难以检测。许多攻击者正在转向无文件恶意软件,其中恶意代码完全在内存中执行,以逃避检测。
攻击者可以从存在漏洞的Win32k.sys系统模块的cjComputeGLYPHSET_MSFT_GENERAL函数中导致整数溢出。通过在字体文件中制作特定的段范围,攻击者可以访问“有趣的内存”,Ivanov说。虽然在Windows 10中的字体处理需要一个特殊的用户模式进程有限的权限,TTF处理的缺陷导致fontdrvhost.exe崩溃。
虽然每个组织都有不同的修补要求,但IT部门应优先考虑修补关键更新。当这些漏洞被野蛮地利用时,由于Windows GDI中的这个远程代码执行缺陷,它肯定是一个优先级。攻击者继续看到很多成功针对已经有补丁的漏洞,因为并不是所有的系统及时更新。这就是为什么伊万诺夫深入讨论这个漏洞的原因。
“请记住,我们不会公布这个漏洞的所有细节,因为其他威胁行为者可能在攻击中使用它们的风险,”Ivanov写道。
|
|