Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kilka dni temu Microsoft wydał swój „krytyczny” biuletyn bezpieczeństwa MS16-120 zawierający poprawki dla luk w zabezpieczeniach systemu Microsoft Windows oraz aplikacji Microsoft Office, Skype for Business, Silverlight i Microsoft Lync. 

Jedna z luk - CVE-2016-3393 - została zgłoszona firmie Microsoft przez Kaspersky Lab we wrześniu 2016 roku.

Przedstawiamy kilka informacji odnośnie wykrycia tej luki dnia zerowego. Kilka miesięcy temu wdrożyliśmy do naszych produktów nowy zestaw technologii pozwalających na identyfikowanie i blokowanie ataków dnia zerowego. Technologie te udowodniły swoją skuteczność już wcześniej tego roku, gdy wykryliśmy dwa exploity dnia zerowego dla Adobe Flash - CVE-2016-1010 oraz CVE-2016-4171. Z ich pomocą zidentyfikowane zostały również dwa exploity EoP (podnoszące uprawnienia w zainfekowanym systemie) dla systemu Windows. Jeden to CVE-2016-0165, drugi to CVE-2016-3393.

Jak większość exploitów dnia zerowego, które są obecnie wykrywane na wolności, CVE-2016-3393 jest wykorzystywany przez ugrupowanie APT, które określamy jako FruityArmor. FruityArmor jest nieco nietypowym ugrupowaniem ze względu na to, że wykorzystuje platformę ataków, która opiera się całkowicie na PowerShell. Główny implant szkodliwego oprogramowania tej grupy jest napisany w PowerShell, a wszystkie polecenia operatorów również są wysyłane w postaci skryptów PowerShell.

W raporcie tym opiszemy lukę w zabezpieczeniach, jaka została wykorzystana przez omawiane ugrupowanie w celu zwiększenia przywilejów na maszynie ofiary. Nie zostaną opublikowane wszystkie szczegóły dotyczące tej luki z uwagi na ryzyko wykorzystania ich przez cyberprzestępców w swoich atakach.