Microsoft wyłącza exploity dnia zerowego wykorzystywane w rządowym zestawie szpiegowskim

Microsoft ujawnił, że szereg ostatnich poprawek bezpieczeństwa został zaprojektowany w celu powstrzymania dwóch zero-day exploity sprzedawane jako część zestawu szpiegowskiego autorytarnym rządom i agencjom szpiegowskim na całym świecie.

Zestaw szpiegowski, rzekomo sprzedawany przez izraelską firmę ochroniarską Candiru, został wykorzystany do celowania politycy, dziennikarze, pracownicy praw człowieka, naukowcy, dysydenci i nie tylko, z co najmniej 100 ofiary. Podczas gdy 100 to stosunkowo niska liczba w porównaniu z innymi poważnymi naruszeniami bezpieczeństwa lub atakami, zestaw szpiegowski jest wysoce zaawansowanym narzędziem używanym do atakowania osób.

W związku z tym ofiarami tego zestawu i exploitów zero-day są prawdopodobnie znane osoby z cennymi informacjami na tematy potencjalnie sejsmiczne.

Microsoft współpracuje z Citizen Lab w celu usunięcia exploitów

Oficjalny Blog dotyczący bezpieczeństwa firmy Microsoft potwierdza odkrycie „obraźliwego aktora z sektora prywatnego” posiadającego dwa exploity zero-day dla systemu Windows (CVE-2021-31979 i CVE-2021-33771).

Microsoft nazwał aktora zajmującego się zagrożeniami SOURGUM, zauważając, że zespół Microsoft Security uważa, że ​​jest to izraelska firma z sektora prywatnego, która sprzedaje narzędzia cyberbezpieczeństwa agencjom rządowym na całym świecie. Współpraca z Citizen Lab, inwigilacją sieci Uniwersytetu Toronto i laboratorium praw człowieka, Microsoft uważa, że ​​zestaw złośliwego oprogramowania i exploitów wykorzystywany przez SOURGUM „ukierunkowany jest na ponad 100 ofiar na całym świecie świat."

Związane z: Zrozumienie złośliwego oprogramowania: najczęstsze typy, o których powinieneś wiedzieć

Laboratorium Obywatelskie raport o exploitach wyraźnie wymienia Candiru, „tajną firmę z siedzibą w Izraelu, która sprzedaje oprogramowanie szpiegujące wyłącznie spyware opracowane przez Candiru „może infekować i monitorować iPhone'y, urządzenia z systemem Android, komputery Mac, PC i konta w chmurze”.

Zespół Microsoft Security obserwował ofiary w Palestynie, Izraelu, Iranie, Libanie, Jemenie, Hiszpanii, Stanach Zjednoczonych Królestwa, Turcji, Armenii i Singapuru, z wieloma ofiarami działającymi w wrażliwych obszarach, rolach lub organizacje. Zgłoszeni klienci Candiru to Uzbekistan, Arabia Saudyjska i Zjednoczone Emiraty Arabskie, Singapur i Katar, a także inne zgłoszone sprzedaże w Europie, krajach byłego Związku Radzieckiego, Zatoce Perskiej, Azji i Ameryce Łacińskiej.

Łatki bezpieczeństwa eliminują exploity dnia zerowego

Exploit dnia zerowego to wcześniej nieujawniona luka w zabezpieczeniach, której atakujący używa do włamania się do witryny, usługi lub w inny sposób. Ponieważ firmy zajmujące się bezpieczeństwem i technologiami nie są świadome jego istnienia, pozostaje on niepoprawny i podatny na zagrożenia.

W tym przypadku izraelska firma rzekomo stojąca za opracowaniem zestawu szpiegowskiego wykorzystała dwa zero-day exploity w celu uzyskania dostępu do wcześniej zabezpieczonych produktów, wbudowane w unikalną odmianę złośliwego oprogramowania o nazwie du Diabelski Język.

Chociaż ataki tego rodzaju są niepokojące, często są to wysoce ukierunkowane operacje, które zazwyczaj nie wpływają na zwykłych użytkowników. Co więcej, Microsoft załatał teraz exploity zero-day wykorzystywane przez szkodliwe oprogramowanie DevilsTongue, czyniąc ten konkretny wariant bezużytecznym. Łatki zostały wydane we wtorek z lipca 2021 r., który został wprowadzony na żywo 6 lipca.

Microsoft mówi użytkownikom, aby wyłączyli buforowanie drukarek w celu ochrony przed exploitami dnia zerowego

Dzień zerowy PrintNightmare jest aktywnie wykorzystywany.

Czytaj dalej

O autorze

Rozwiń, aby przeczytać całą historię