微软昨(27)日公布一项黑客攻击行动,一个名为KNOTWEED的组织利用Adobe及Windows等多项漏洞在Windows用户系统中植入恶意程序Subzero,包括一个本月才修补的漏洞。
微软威胁情报中心(Microsoft Threat Intelligence Center,MSTIC)及微软安全回应中心(Microsoft Security Response Center,MSRC)研究人员相信,微软在研究中命名的KNOTWEED,实际身份为奥地利“民间攻击者(private-sector offensive actor)”组织,即所谓的网络佣兵组织DSIRF,他们专门开发黑客工具并以多种商业模式销售工具或服务。但DSIF表面上是一家安全顾问公司,在其网页上宣称服务客户包括“科技、零售、能源及金融业的跨国公司”,并拥有“搜集和分析资讯的高等能力”。
微软发现,2021和2022年间KNOTWEED以各种方法利用Adobe Reader及Windows多项零时差漏洞,在受害者系统内植入Subzero,受害客户包括律师事务所、银行、策略顾问公司,分布欧洲、英国及巴拿马等国。Subzero是一种rootkit程序,可让攻击者取得整台系统的完整控制权。而在这些攻击中,微软观察到DSIRF不仅提供Subzero,也发现和它有关的GitHub,及它提供的C&C基础架构与签发开采程序的凭证。
最新的KNOTWEED发生在今年5月间,黑客利用1项Adobe Reader远程程序代码执行(RCE)漏洞及CVE-2022-22047发动权限扩张攻击,在Windows系统内植入Subzero。其中CVE-2022-22047位于客户端/服务器端执行时子系统(Client/Server Runtime Subsystem,CSRSS),为一权限扩张及沙箱逃逸漏洞,成功开采能让黑客取得系统(SYSTEM)权限。微软推测,用户可能是接获并打开恶意PDF文件,利用Adobe Reader的RCE漏洞在PC磁盘写入恶意DLL档,再利用CVE-2022-22047将恶意DLL加载到目标系统行程中,达到执行程序代码的目的。
微软在本月的Patch Tuesday中才修补CVE-2022-22047。开采程序代码分析显示,也可用于Chromium-based浏览器,不过微软尚未发现以浏览器为渠道的攻击。
至于Adobe Reader遭开采漏洞为何不得而知。但Adobe 5月间曾发布安全更新,以修补Windows及Mac版Adobe Reader一个已遭开采的漏洞,成功开采可让攻击者执行任意程序代码。
在防范措施上,微软呼吁企业用户尽快安装Windows更新版本,修补包括CVE-2022-22047在内的漏洞,并激活杀毒软件及多因素验证(MFA)确保修户凭证安全,也要检查是否有不明的远程访问连接。同时微软建议通过群组规则(Group Policy)设置AMSI(Antimalware Scan Interface)以防范恶意XLM或VBA宏。