Řetězové zneužití zranitelností ve Firefoxu a Windows: hackeři RomCom líčí pasti na webových stránkách
První chyba, která byla katalogizována pod číselným označením CVE-2024-9680, útočí na problém animace internetového prohlížeče Firefox. Umožňuje spuštění kódu v sandboxu browseru. Mozilla tuto chybu opravila už začátkem října, a to krátce po jejím nahlášení. Podle provedené analýzy útok postihuje také Tor Browser, a to ve verzích 12 a 13.
Druhou zranitelností nultého dne, zneužívanou v nejnovější kampani, je chyba zvýšení oprávnění (CVE-2024-49039) ve službě Plánovač úloh systému Windows. Microsoft tuto bezpečnostní chybu řešil na začátku tohoto měsíce, 12. listopadu, a to distribucí odpovídajících záplat v rámci bezpečnostních aktualizací.
Skupina RomCom zneužila tyto dvě zranitelnosti řetězovou formou, která jí pomohla získat vzdálené spuštění kódu bez nutnosti interakce uživatele. Obětem stačilo navštívit útočníkem ovládanou a podvodně vytvořenou webovou stránku, která stáhla a spustila backdoor RomCom v jejich systému. To je kód, který otevírá "zadní vrátka" pro možnost infiltrace dalšího škodlivého kódu na počítač oběti.
Mohlo by vás zajímat
Stačilo, abyste navštívili zmanipulovanou webovou stránku: žádné další aktivity nebyly nutné
Na odhalení útoku se podílela bezpečnostní firma Eset. Podle slov jednoho z bezpečnostních expertů "...není jasné, jak se odkaz na falešnou webovou stránku šíří. Pokud je však stránka otevřena prostřednictvím zranitelného prohlížeče, je na počítač oběti stažen a spuštěn payload, aniž by byla vyžadována jakákoli interakce uživatele.“ To je kód, který provede spuštění dalšího škodícího softwaru.
Není to poprvé, kdy skupina RomCom zneužila zranitelnost nultého dne. V loňském roce se zaměřila na bezpečnostní díry ve Windows a Office, a zaútočila na organizace, které se zúčastnily zasedání NATO v Litvě.
RomCom (sledovaný také jako Storm-0978, Tropical Scorpius nebo UNC2596) byl spojován s finančně motivovanými kampaněmi a vedle krádeží pověření, pravděpodobně zaměřených na podporu zpravodajských operací, organizoval i ransomwarové a vyděračské útoky.
Mohlo by vás zajímat
Kdo si nainstaluje tuto aplikaci, rovnou předává svá data hackerům: zákeřný útok šíří nebezpečný kód
Jak se útokům bránit? Aktualizace v kombinaci s bezpečnostními nástroji a obezřetností
Kybernetické útoky prostřednictvím webových stránek, které nevyžadují žádnou interakci uživatele (tzv. drive-by download útoky apod.), jsou velmi zákeřné. Pro efektivní obranu proti těmto hrozbám je klíčová kombinace technických opatření, správných postupů a zabezpečení.
Těmi základními jsou pravidelné aktualizace operačního systému a prohlížeče, abyste měli opravené známé zranitelnosti. Také zvažte odstranění zastaralých nebo nevyužívaných pluginů, ke kterým patří například Adobe Flash, Java, či Silverlight, které bývají častým cílem útoků.
Dalšími opatřeními mohou být spolehlivá antivirová řešení s ochranou proti škodlivým webům a útokům, nastavení firewallu pro filtrování příchozího i odchozího provozu a instalace rozšíření prohlížeče, jako například uBlock Origin nebo NoScript. Ty dokáží blokovat spouštění škodlivého kódu na webových stránkách.
Zdroj: Bleeping Computer
3 foto
