Windows GDI缺陷導致PowerShell攻擊.遠程控制軟件，灰鴿子下載.

admin

Windows GDI缺陷導致PowerShell攻擊.遠程控制軟件，灰鴿子下載.

APT組FruityArmor利用Windows GDI內(nèi)存處理打破瀏覽器沙箱并在目標攻擊中啟動PowerShell
根據(jù)卡巴斯基實驗室的說法，微軟在最新一輪安全更新中修補的Windows GDI（圖形設備界面）中的一個關鍵漏洞被一個復雜的攻擊組利用來逃避基于瀏覽器的沙箱并遠程執(zhí)行惡意代碼。
Windows GDI是一種API，可幫助應用程序在視頻顯示器和打印機上使用圖形和格式化文本。遠程代碼執(zhí)行缺陷源于GDI如何處理內(nèi)存中的對象（CVE-2016-3393），并且該問題已在關鍵公告（MS16-120）中解決，Microsoft說。此漏洞影響Windows操作系統(tǒng)，Microsoft Office 2007和Office 2010，Skype for Business 2016，Silverlight，.Net Framework，Microsoft Lync 2013和Microsoft Lync 2010的所有受支持版本。
微軟說，攻擊者可以通過欺騙用戶訪問惡意網(wǎng)站并點擊誘騙鏈接，打開作為電子郵件附件發(fā)送的惡意制作的文檔或執(zhí)行特別裝載的文件來利用此漏洞。


卡巴斯基實驗室研究員Anton Ivanov發(fā)現(xiàn)，已知的高級持續(xù)性威脅（APT）組FruityArmor正在將此漏洞作為基于瀏覽器的漏洞鏈的一部分，以獲得提升的權限并逃脫瀏覽器沙箱。 FruityArmor依靠Windows Management Instrumentation存儲來維護受感染機器上的持久性，并依靠PowerShell執(zhí)行其攻擊。

“由于許多現(xiàn)代瀏覽器是圍繞沙箱構建的，一個單獨的漏洞通常不足以允許完全訪問目標機器，”伊萬諾夫在卡巴斯基實驗室的安全列表摘要寫道。

FruityArmor欺騙受害者訪問包含基于瀏覽器的漏洞的惡意頁面。這個模塊的主要目標是加載一個特制的TTF字體文件包含漏洞來觸發(fā)Windows GDI缺陷。通過成功的妥協(xié)，第二階段有效負載使用提升的特權來使用計費表式腳本執(zhí)行PowerShell，以便連接到命令和控制服務器并接收其他指令和可執(zhí)行文件。

Ivanov說，由C＆C運營商發(fā)送的主要惡意軟件植入和命令都是在PowerShell中編寫的。植入物和惡意的TTF字體駐留并在內(nèi)存中執(zhí)行，使其難以檢測。許多攻擊者正在轉(zhuǎn)向無文件惡意軟件，其中惡意代碼完全在內(nèi)存中執(zhí)行，以逃避檢測。

攻擊者可以從存在漏洞的Win32k.sys系統(tǒng)模塊的cjComputeGLYPHSET_MSFT_GENERAL函數(shù)中導致整數(shù)溢出。通過在字體文件中制作特定的段范圍，攻擊者可以訪問“有趣的內(nèi)存”，Ivanov說。雖然在Windows 10中的字體處理需要一個特殊的用戶模式進程有限的權限，TTF處理的缺陷導致fontdrvhost.exe崩潰。

雖然每個組織都有不同的修補要求，但IT部門應優(yōu)先考慮修補關鍵更新。當這些漏洞被野蠻地利用時，由于Windows GDI中的這個遠程代碼執(zhí)行缺陷，它肯定是一個優(yōu)先級。攻擊者繼續(xù)看到很多成功針對已經(jīng)有補丁的漏洞，因為并不是所有的系統(tǒng)及時更新。這就是為什么伊萬諾夫深入討論這個漏洞的原因。

“請記住，我們不會公布這個漏洞的所有細節(jié)，因為其他威脅行為者可能在攻擊中使用它們的風險，”Ivanov寫道。