Onze Behavioral Detection Engine en Exploit Prevention-technologieën hebben onlangs de exploitatie van een kwetsbaarheid in de Win32k-kerneldriver gedetecteerd, wat heeft geleid tot een onderzoek naar de volledige cybercriminele operatie achter de exploitatie. We meldden de kwetsbaarheid (CVE-2021-40449) aan Microsoft, en het bedrijf patchte deze in een reguliere update die op 12 oktober is uitgebracht. Daarom raden we aan om, zoals gebruikelijk na Patch Tuesday, Microsoft Windows zo snel mogelijk te updaten.
Waar CVE-2021-40449 voor werd gebruikt
CVE-2021-40449 is een use-after-free-kwetsbaarheid in de NtGdiResetDC-functie van de Win32k-driver. Een gedetailleerde technische beschrijving is beschikbaar in onze Securelist-post, maar kort samengevat kan de kwetsbaarheid leiden tot het lekken van adressen van kernelmodules in het geheugen van de computer. Cybercriminelen gebruiken het lek vervolgens om de privileges van een ander schadelijk proces te verhogen.
Via privilege-escalatie konden aanvallers MysterySnail downloaden en lanceren, een Remote Access Trojan (RAT) die aanvallers toegang geeft tot het systeem van het slachtoffer.
Wat MysterySnail doet
De Trojan begint met het verzamelen van informatie over het geïnfecteerde systeem en stuurt die naar de C&C-server. Vervolgens kunnen de aanvallers verschillende commando’s uitvoeren via MysterySnail. Ze kunnen bijvoorbeeld een specifiek bestand maken, lezen of verwijderen; een proces aanmaken of verwijderen; een directory-lijst opvragen; of een proxy-kanaal openen en er gegevens doorheen sturen.
Andere functies van MysterySnail omvatten de mogelijkheid om de lijst van aangesloten schijven te bekijken, om de verbinding van externe schijven op de achtergrond te controleren, en nog veel meer. De trojan kan ook de interactieve shell cmd.exe starten (door het cmd.exe-bestand onder een andere naam naar een tijdelijke map te kopiëren).
Aanvallen via CVE-2021-40449
De exploit voor deze kwetsbaarheid bestrijkt een hele reeks besturingssystemen in de Microsoft Windows-familie: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) en Server 2019 (build 17763). Volgens onze experts bestaat de exploit specifiek om privileges te escaleren op server-versies van het besturingssysteem.
Na detectie van de bedreiging stelden onze deskundigen vast dat de exploit en de MysterySnail-malware die ermee in het systeem wordt geladen op grote schaal worden gebruikt bij spionageoperaties tegen IT-bedrijven, diplomatieke organisaties en bedrijven die voor de defensie-industrie werken.
Dankzij de Kaspersky Threat Attribution Engine konden onze experts overeenkomsten vinden in de code en functionaliteit van MysterySnail en malware die wordt gebruikt door de IronHusky-groep. Bovendien gebruikte een Chineestalige APT-groep in 2012 enkele van de C&C-serveradressen van MysterySnail.
Voor meer informatie over de aanval, inclusief een gedetailleerde beschrijving van de exploit en de indicators op compromise leest u onze Securelist-post.
Hoe u zich hiertegen beschermt
Begin met het installeren van de nieuwste patches van Microsoft, en voorkom dat u in de toekomst wordt getroffen door zero-day-kwetsbaarheden door robuuste beveiligingsoplossingen te installeren die proactief kwetsbaarheden detecteren en de exploitatie ervan stoppen op alle computers met toegang tot het internet. Behavioral Detection Engine and Exploit Prevention-technologieën, zoals die in Kaspersky Endpoint Security for Business, detecteerden CVE-2021-40449.