Η Kaspersky αποκάλυψε ότι το CVE-2018-8589 Windows zero-day που διορθώθηκε από το Microsoft Nov. 2018 Patch Tuesday, έχει εκμεταλλευτεί από τουλάχιστον μία ομάδα APT για επιθέσεις στη Μέση Ανατολή.
Οι εμπειρογνώμονες της Kaspersky Lab αποκάλυψαν ότι η ευπάθεια Windows CVE-2018-8589 zero-day, που επιδιορθώθηκε από το Microsoft November 2018 Patch Tuesday, έχει αξιοποιηθεί από μια ομάδα APT για στοχευμένες επιθέσεις εναντίον οντοτήτων στη Μέση Ανατολή.
Η Kaspersky ανέφερε το ελάττωμα στη Microsoft στις 17 Οκτωβρίου, η εταιρεία ασφαλείας παρατήρησε επιθέσεις εναντίον συστημάτων και προσπάθειες εκμετάλλευσης του ελαττώματος zero-day που επηρεάζει το στοιχείο Win32k στα Windows.
Η Kaspersky Lab περιέγραψε το ελάττωμα CVE-2018-8589 ως race condition στο win32k! XxxMoveWindow, που προκαλείται από το ακατάλληλο κλείδωμα των μηνυμάτων που αποστέλλονται συγχρόνως μεταξύ των threads.
Η ευπάθεια CVE-2018-8589 επηρεάζει μόνο τα Windows 7 και τα Windows Server 2008.
Οι επιτιθέμενοι εκμεταλλεύτηκαν το ελάττωμα ως το πρώτο στάδιο εγκατάστασης κακόβουλου λογισμικού που απευθύνεται σε περιορισμένο αριθμό οντοτήτων στη Μέση Ανατολή.
Είναι σαφές το πώς το κακόβουλο λογισμικό διαδόθηκε από τους επιτιθέμενους:
“Η εκμετάλλευση εκτελέστηκε από το πρώτο στάδιο ενός malware installer, προκειμένου να αποκτήσει τα απαραίτητα persistence privileges στο σύστημα του θύματος. Μέχρι στιγμής, εντοπίσαμε έναν πολύ περιορισμένο αριθμό επιθέσεων που χρησιμοποιούν αυτήν την ευπάθεια. Τα θύματα βρίσκονται στη Μέση Ανατολή “, αναφέρει η ανάλυση που δημοσίευσε η Kaspersky.
H Kaspersky δεν αποδίδει ρητά την επίθεση σε συγκεκριμένο φορέα, αλλά επεσήμανε ότι ο κώδικας εκμετάλλευσης CVE-2018-8589 χρησιμοποιείται από τουλάχιστον μία ομάδα APT κατασκοπείας στον κυβερνοχώρο.
Τον Οκτώβριο, η Kaspersky ανέφερε επίσης στην Microsoft το ελάττωμα CVE-2018-8453 που είχε εκμεταλλευτεί μία ομάδα γνωστή ως FruityArmor για μια πολύ στοχευμένη εκστρατεία.
Η FruityArmor APT δραστηριοποιείται τουλάχιστον από το 2016 και στοχεύει ακτιβιστές, ερευνητές και άτομα που σχετίζονται με κυβερνητικές οργανώσεις.
Τον Οκτώβριο, η ομάδα κατασκοπείας εκμεταλλεύτηκε ένα ελάττωμα Windows zero-day σε επιθέσεις που αφορούσαν οντότητες στη Μέση Ανατολή.
Οι ερευνητές επεσήμαναν ότι αμφότερα τα ζητήματα επηρεάζουν το στοιχείο Win32k και τα δύο ελαττώματα χρησιμοποιήθηκαν σε επιθέσεις που απευθύνονταν σε χρήστες στη Μέση Ανατολή, αλλά η Kaspersky δεν συνέδεσε τις δύο επιθέσεις.
