微軟發現Adobe及Windows新漏洞遭開採植入惡意軟體
一個名為KNOTWEED的組織利用Adobe及Windows等多項漏洞在Windows用戶系統中植入惡意程式Subzero,包括一個本月才修補的漏洞。
微軟威脅情報中心(Microsoft Threat Intelligence Center,MSTIC)及微軟安全回應中心(Microsoft Security Response Center,MSRC)研究人員相信,微軟在研究中命名的KNOTWEED,實際身份為奧地利「民間攻擊者(private-sector offensive actor)」組織,即所謂的網路傭兵組織DSIRF,他們專門開發駭客工具並以多種商業模式銷售工具或服務。但DSIF表面上是一家安全顧問公司,在其網頁上宣稱服務客戶包括「科技、零售、能源及金融業的跨國公司」,並擁有「蒐集和分析資訊的高等能力」。
微軟發現,2021和2022年間KNOTWEED以各種方法利用Adobe Reader及Windows 多項零時差漏洞,在受害者系統內植入Subzero,受害客戶包括律師事務所、銀行、策略顧問公司,分布歐洲、英國及巴拿馬等國。Subzero是一種rootkit程式,可讓攻擊者取得整臺系統的完整控制權。而在這些攻擊中,微軟觀察到DSIRF不僅提供Subzero,也發現和它有關的GitHub,及它提供的C&C基礎架構與簽發開採程式的憑證。
最新的KNOTWEED發生在今年5月間,駭客利用1項Adobe Reader遠端程式碼執行(RCE)漏洞及CVE-2022-22047發動權限擴張攻擊,在Windows系統內植入Subzero。其中位於客戶端/伺服器端執行時子系統(Client/Server Runtime Subsystem,CSRSS),為一權限擴張及沙箱逃逸漏洞,成功開採能讓駭客取得系統(SYSTEM)權限。微軟推測,用戶可能是接獲並開啟惡意PDF文件,利用Adobe Reader的RCE漏洞在PC磁碟寫入惡意DLL檔,再利用CVE-2022-22047將惡意DLL載入到目標系統行程中,達到執行程式碼的目的。
微軟在本月的Patch Tuesday中才修補CVE-2022-22047。開採程式碼分析顯示,也可用於Chromium-based瀏覽器,不過微軟尚未發現以瀏覽器為管道的攻擊。
至於Adobe Reader遭開採漏洞為何不得而知。但Adobe 5月間曾釋出安全更新,以修補Windows及Mac版Adobe Reader,成功開採可讓攻擊者執行任意程式碼。
在防範措施上,微軟呼籲企業用戶儘速安裝Windows更新版本,修補包括CVE-2022-22047在內的漏洞,並啟用防毒軟體及多因素驗證(MFA)確保用戶憑證安全,也要檢查是否有不明的遠端存取連線。同時微軟建議透過群組規則(Group Policy)設定AMSI(Antimalware Scan Interface)以防範惡意XLM或VBA巨集。
