Grupa PuzzleMaker atakuje firmy za pośrednictwem 0-day’a w przeglądarce Google Chrome

W dniach 14–15 kwietnia 2021 r. badacze z firmy Kaspersky wykryli falę wysoce ukierunkowanych ataków na przedsiębiorstwa. Bliższa analiza wykazała, że w kampanii zastosowano łańcuch exploitów 0-day w Google Chrome i Microsoft Windows. Według badaczy w atakach prawdopodobnie została wykorzystana luka CVE-2021-21224, pozwalająca na zdalne wykonanie kodu w Google Chrome. Warto dodać, że na GitHubie możemy znaleźć PoC (Proof of Concept) odnośnie do tej podatności: 

Atakujący wykorzystywali również błędy CVE-2021-31955 i CVE-2021-31956 celem podniesienia uprawnień:

Możemy bliżej przyjrzeć się podatności CVE-2021-31955 dzięki commitom na GitHubie

Podatności te zostały zniwelowane w czerwcowej aktualizacji bezpieczeństwa oferowanej przez firmę Microsoft.

Jeżeli eksploitacja powiodła się, to urządzenie ofiary było infekowane złośliwym oprogramowaniem, pozwalającym na wykonywanie poleceń powłoki (remote shell) oraz pobieranie i uruchamianie innego złośliwego oprogramowania.

Warto również sprawdzić czy mamy aktualnego Chrome, co dopiero załatano całą baterię podatności.

~ Jakub Bielaszewski