Januárban javították a Silverlight egy súlyos hibáját, aztán mégis elég sok problémát okozott. A Kafeine nicknéven ismert francia biztonsági kutató, aki már korábban is behatóan vizsgálta az Anglert, vette észre, hogy az exploit fejlesztői az után startoltak rá a hibára, miután megjelent hozzá a javítás. Így a károkozó mindenkire lecsaphat, aki elhanyagolta a frissítést – írta a Biztonságportál.

A sérülékenységet 2013-ban egy orosz hacker fedezhette fel, és írt is egy olyan kódot, amivel kihasználhatóvá vált a hiba. A kódot eladásra kínálta a Hacking Teamnek. Bár arról nincs infó, hogy megvették-e, de tény, hogy a kód kikerült a netre. A Kaspersky Lab fedezte fel, és végül a biztonsági cég információi alapján a Microsoft januárban adta ki ennek ismeretében a javítást.

Kritikus a hiba

A Microsoft a januárban kiadott hibajavításhoz kiadott közleményében hangsúlyozta, hogy a Silverlightban kritikus besorolású sebezhetőséget javítottak. A sérülékenység jogosulatlan távoli kódfuttatásra és művelet-végrehajtásra is lehetőséget ad, azaz teljes mértékben kiszolgáltatottá tudja tenni a megtámadott rendszereket. A probléma súlyossága attól is függ, hogy felhasználó milyen jogosultsági szinttel használja a gépet. A mindennapi munkához már csak ezért sem érdemes rendszergazdai vagy emelt szintű jogosultságokat használni.

A hiba weben keresztül is kiaknázható: egy weboldalra speciálisan összeállított Silverlight tartalmukat kell elhelyezni, a felhasználókat pedig valamilyen módon rá kell venni, hogy látogassák meg a preparált weblapot. Ha a weblap betöltődik, lefut egy olyan kód, ami az automatizált vírusterjesztést is segítheti.

Ezért használják az Anglert

Kafeine – aki egyike azoknak, akik a legbehatóbban foglalkoznak az Anglerrel – az exploitkészlet legújabb variációját elemezve vette észre, hogy a Silverlightnak ezt a fenti sérülékenységét is sebezhetőségét is támadja. Ez azért is különösen veszélyes, mert az Angler az egyik legnépszerűbb és legsokoldalúbb támadóeszköz, amelynek folyamatosan bővül az eszköztára. Korábban főleg a Flash Player, az Adobe Reader és a Java biztonsági hibáira fókuszált, de a Silverlightot is lehetett vele támadni. Ráadásul minden olyan sérülékenység, ami ismertté válik, villámgyorsan belekerül. Tavaly ősszel például a Cisco számolt fel egy olyan botnetet, amely a támadások legalább feléhez az Anglert használta.

Öröm az ürömben, hogy aki nem mulasztotta el a januári frissítés telepítését, védett az Angler új variánsától. Ugyanakkor a javítás csak a Silverlight hibájára jó, azaz más szoftvereket továbbra is támadhat.

Mostanság az exploitot elsősorban a fájlokat titkosító TeslaCrypt zsaroló program terjesztéséhez használják. A ransomware tavaly év elején tűnt fel, de ősszel már a 2.0-s változatát is megtalálta a Kaspersky Lab. Ez sokkal veszélysebb, mint az eredeti változat, mert erősítettek a titkosítási mechanizmusain. A fájlok titkosítása előtt minden támadott rendszerhez egyedi mester és egy minden memóriába töltődéskor változó munkameneti (session) kulcsot generál. Ráadásul ez előző variánsokkal szemben nem fájlokba, hanem a regisztrációs adatbázis bejegyzéseibe menti a kulcsokat.