微软昨(27)日公布一项黑客攻击行动,一个名为knotweed的组织利用adobe及windows等多项漏洞在windows用户系统中植入恶意程序subzero,包括一个本月才修补的漏洞。
微软威胁情报中心(microsoft threat intelligence center,mstic)及微软安全回应中心(microsoft security response center,msrc)研究人员相信,微软在研究中命名的knotweed,实际身份为奥地利“民间攻击者(private-sector offensive actor)”组织,即所谓的网络佣兵组织dsirf,他们专门开发黑客工具并以多种商业模式销售工具或服务。但dsif表面上是一家安全顾问公司,在其网页上宣称服务客户包括“科技、零售、能源及金融业的跨国公司”,并拥有“搜集和分析资讯的高等能力”。
微软发现,2021和2022年间knotweed以各种方法利用adobe reader及windows多项零时差漏洞,在受害者系统内植入subzero,受害客户包括律师事务所、银行、策略顾问公司,分布欧洲、英国及巴拿马等国。subzero是一种rootkit程序,可让攻击者取得整台系统的完整控制权。而在这些攻击中,微软观察到dsirf不仅提供subzero,也发现和它有关的github,及它提供的c&c基础架构与签发开采程序的凭证。
最新的knotweed发生在今年5月间,黑客利用1项adobe reader远程程序代码执行(rce)漏洞及cve-2022-22047发动权限扩张攻击,在windows系统内植入subzero。其中cve-2022-22047位于客户端/服务器端执行时子系统(client/server runtime subsystem,csrss),为一权限扩张及沙箱逃逸漏洞,成功开采能让黑客取得系统(system)权限。微软推测,用户可能是接获并打开恶意pdf文件,利用adobe reader的rce漏洞在pc磁盘写入恶意dll档,再利用cve-2022-22047将恶意dll加载到目标系统行程中,达到执行程序代码的目的。
微软在本月的patch tuesday中才修补cve-2022-22047。开采程序代码分析显示,也可用于chromium-based浏览器,不过微软尚未发现以浏览器为渠道的攻击。
至于adobe reader遭开采漏洞为何不得而知。但adobe 5月间曾发布安全更新,以修补windows及mac版adobe reader一个已遭开采的漏洞,成功开采可让攻击者执行任意程序代码。
在防范措施上,微软呼吁企业用户尽快安装windows更新版本,修补包括cve-2022-22047在内的漏洞,并激活杀毒软件及多因素验证(mfa)确保修户凭证安全,也要检查是否有不明的远程访问连接。同时微软建议通过群组规则(group policy)设置amsi(antimalware scan interface)以防范恶意xlm或vba宏。