卡巴斯基實驗室在Silverlight(一種用于顯示多媒體內容的網頁技術)中發現一種零日漏洞。這種漏洞允許攻擊者完全訪問受感染的計算機,并且可以執行惡意代碼,竊取用戶機密信息,還能夠執行其它非法操作。
2015年夏,一篇關于Hacking Team公司(一家知名的“合法間諜軟件”開發商)遭遇黑客攻擊的報道登上各個媒體。其中一篇發表在Ars Technica上的文章提到了Hacking Team代表和VitaliyToropov(一名獨立漏洞程序編寫者)之間的通信被泄露。除此之外,這篇文章還提到Torpopov試圖在通信中向Hacking Team銷售一種有趣的零日漏洞。這種Microsoft Silverlight技術中的零日漏洞已經存在4年,并且微軟將仍未對其進行修復。這條信息引起了卡巴斯基實驗室研究人員的興趣。
文章中沒有關于這一漏洞的進一步信息,所以研究人員開始使用銷售者的名稱進行調查。很快,他們發現一個名為VitaliyToropov的用戶是開源漏洞數據庫(OSVDB)上一名非常活躍的貢獻者,很多人都會在這一數據庫中發布關于漏洞的信息。通過分析該用戶在OSVBD.org上的資料,卡巴斯基實驗室研究人員發現早在2013年,Toropov就發表了一篇描述Silverlight技術中所存在bug的概念驗證(POC)文章。這篇概念驗證(POC)文章介紹了一種較老的并且已經被修復的漏洞。但是,其中包含的詳情和細節給了卡巴斯基實驗室研究人員相關啟示,掌握了漏洞利用程序編寫者將如何編寫惡意代碼。
卡巴斯基實驗室專家經分析在一些代碼中發現了一些獨特的字符串。利用這些信息,安全專家為卡巴斯基實驗室保護技術創建了一些特殊的檢測規則。這樣,一旦有同意分享威脅數據到卡巴斯基安全網絡(KSN)的用戶遇到具有這類特殊規則中所描述的惡意行為的惡意軟件,系統會將這些文件標記為高度可疑文件,并將其發送給卡巴斯基實驗室進行研究。這一策略的假設非常簡單:即如果Toropov試圖將這種零日漏洞賣給Hacking Team,他也很可能試圖將其賣給其它間諜軟件供應商。由于可能出現這種行為,所以其它的網絡間諜攻擊組織可能會正在互聯網上使用這種漏洞并對用戶進行攻擊。
在部署這一特殊的檢測規則后幾個月內,一名卡巴斯基實驗室的用戶遭遇了一次攻擊。攻擊中使用的可疑文件正是我們所找的那種具有相關特征的文件。幾個小時后,另一名來自老撾的用戶(可能是攻擊受害者)向多引擎掃描服務網站上傳了具有同樣特征的文件。卡巴斯基實驗室對這種攻擊進行分析發現,其確實利用了一種Silverlight技術中的未知漏洞。關于漏洞信息,卡巴斯基實驗室及時上報給微軟進行核實。
卡巴斯基實驗室全球研究和分析團隊總監CostinRaiu表示:“雖然我們不知道現在發現的這種漏洞是否實際上是ArsTechnica文章中提到的漏洞,但我們有足夠的理由相信,這兩種漏洞其實是一樣的。對最新的惡意文件和VitaliyToropov之前的工作進行分析后,我們認為最近發現的漏洞利用程序編寫者和發布于OSVDB中的概念驗證文章的作者是一個人。同時,我們不完全排除發現了另一種Silverlight零日漏洞的可能性。不管怎么說,這項研究發現了一種最新的零日漏洞,并且進行了漏洞修復,幫助網絡空間變得更為安全。我們建議所有微軟產品用戶及時更新系統,修補這一漏洞,”