A Kaspersky Lab vírusirtója április végén egy korábban nem ismert exploitot azonosított, amelyről a kiberbiztonsági cég szakértői további elemzés után megállapították, hogy egy nulladik napi (eddig ismeretlen, így bárki által kihasználható) biztonsági rés az Internet Explorerben, és célzott támadások során használhatták – írja közleményében a cég.

Az észlelés után a Kaspersky azonnal jelezte a biztonsági rést a Microsoftnak, a javítás május 8-tól elérhető.

Az exploit egy olyan szoftver, amely más szoftverek hibáit vagy sérülékenységét használja ki azzal a szándékkal, hogy rosszindulatú kóddal fertőzze az áldozatokat. Az exploitok használata széleskörű, kezdve az egyszerű bevételt kereső kiberbűnözőktől a kifinomult nemzetállamok által támogatott, célzott támadásokat kivitelező bűnözői csoportokig.

Ebben a konkrét esetben az azonosított exploit egy nulladik napi sebezhetőséget kihasználó kártékony kódon alapult. A sebezhetőség az Internet Explorer memóriafeldolgozásért felelős kódjában volt. Az exploit segítségével a támadók átvehették a gépek felett a kontrollt.

Az exploit alaposabb elemzése azt mutatta, hogy a fertőzés a következőképp zajlik:

• Az áldozat rosszindulatú .rtf kiterjesztésű Microsoft Office dokumentumot kap.
• A kártékony dokumentum megnyitása után letöltődik az exploit második szakasza – egy rosszindulatú kóddal ellátott HTML oldal.
• A kód aktiválja a hibát.
• A rosszindulatú kód letölti a shell kódot.

Érdekesség, hogy ezt az exploitot egy Microsoft Word dokumentumba töltötték le, ez az első alkalom, hogy ilyen módszert használtak a hekkerek. Ráadásul a Word egy elméletileg teljesen javított verziójánál sikerült az exploitot kihasználni.