卡巴斯基实验室在显示多媒体内容的网页技术中发现了零日漏洞。此漏洞允许攻击者完全访问受感染的计算机,执行恶意代码,窃取用户的机密信息并执行其他非法操作。
2015年夏天,一篇关于公司某知名“合法间谍软件”开发者被黑客攻击的报道。该杂志发表的一篇文章提到,该代表与一名独立漏洞程序作者之间的通信被泄露。此外,本文还提到了试图在通信中销售一个有趣的零日漏洞。这项技术中的零日bug已经存在4年了,微软仍然不会修复它。这个信息引起了卡巴斯基实验室研究人员的兴趣。
Zx.wNFCW。Cn文章中没有关于这个漏洞的进一步信息,所以研究人员开始使用卖家的名字进行调查。很快他们发现一个叫的用户是开源漏洞数据库OSVDB的非常活跃的贡献者,很多人会在这个数据库里发布关于漏洞的信息。通过分析用户在OSVBD.org的数据,卡巴斯基实验室的研究人员发现,托罗波夫早在2013年就发表了一篇描述Silverlight技术漏洞的概念验证文章。这篇概念验证文章介绍了一个已修复的旧漏洞。然而,其中包含的细节和细节给卡巴斯基实验室的研究人员相关启示,并掌握漏洞利用程序的作者将如何编写恶意代码。
卡巴斯基实验室专家经过分析,在一些代码中发现了一些独特的字符串。利用这些信息安全专家为卡巴斯基实验室保护技术创建一些特殊的检测规则。这样,一旦同意与卡巴斯基安全网KSN共享威胁数据的用户遇到此类特殊规则中描述的恶意行为的恶意软件系统,这些文件将被标记为高度可疑文件,并被发送到卡巴斯基实验室进行研究。这个策略的假设很简单,就是如果Toropov想把这个零日漏洞卖给HackingTeam,他很可能会想办法卖给其他间谍软件供应商。由于这种行为,其他网络间谍组织可能会利用互联网上的这一漏洞攻击用户。
卡巴斯基实验室的一名用户在部署这一特殊检测规则后的几个月内遭到了攻击。攻击中使用的可疑文件正是我们要寻找的那种具有相关特征的文件。几个小时后,另一个可能是攻击受害者的老挝用户向多引擎扫描服务网站上传了一个具有相同特征的文件。卡巴斯基实验室分析了这次攻击,发现它确实利用了Silverlight技术中的一个未知漏洞。卡巴斯基实验室及时将漏洞信息报告给微软进行验证。
卡巴斯基实验室全球研究和分析小组主任CostinRaiu说:“虽然我们不知道发现的漏洞是否真的是ArsTechnica文章中提到的漏洞,但我们有足够的理由相信这两个漏洞实际上是相同的。在分析了VitaliyToropov最新的恶意文件和之前的工作后,我们认为最近发现的漏洞利用程序的作者和OSVDB上发表的概念证明文章的作者是同一个人。同时,我们不完全排除发现另一个Silverlight零日漏洞的可能性。无论如何,这项研究发现了一个新的零日漏洞,并对其进行了修复,以帮助网络空间变得更加安全。我们建议所有微软产品用户及时更新系统以修复此漏洞。”
本文转载自d1net
相关阅读
标签: #卡巴斯基实验室相关文章最新报道
