"La sfârşitul primăverii, tehnologiile de detectare automată ale Kaspersky împiedicau un atac ţintit asupra unei companii sud-coreene. O analiză mai atentă relevă faptul că acest atac a folosit un set complet necunoscut anterior, de două exploatări Ziua-0: una de execuţie a codului de la distanţă pentru Internet Explorer 11 şi una de privilegii (EoP) pentru Windows. Cea din urmă vizează cele mai recente versiuni ale Windows 10. În timp ce investigau acest atac, cercetătorii Kaspersky au găsit două vulnerabilităţi de tip Ziua-0. Prima exploatare, de Internet Explorer, era un Use-After-Free - un tip de vulnerabilitate care poate activa capacităţi complete de execuţie a codului de la distanţă. Această exploatare a fost clasificată ca CVE-2020-1380. Cu toate acestea, cum Internet Explorer funcţionează într-un mediu izolat, atacatorii au avut nevoie de mai multe privilegii asupra maşinii infectate. Acesta este motivul pentru care au avut nevoie de o a doua exploatare, de Windows, care utiliza o vulnerabilitate în serviciul de imprimantă. Aceasta permitea atacatorilor să execute cod arbitrar pe maşina victimei. Această exploatare a privilegiilor (EoP) a fost clasificată ca CVE-2020-0986", precizează experţii.
Specialiştii Kaspersky nu consideră credibilă informaţia conform căreia atacul poate fi atribuit DarkHotel, "date fiind puţinele similitudini între noua exploatare şi cele descoperite anterior, care sunt atribuite acestui grup".
Vulnerabilităţile din tip "Zero-day" sunt erori de software necunoscute care pot fi exploatate de către atacatori pentru a provoca daune serioase şi neaşteptate, înainte ca dezvoltatorii să lanseze o soluţie pentru malware.
