La vulnérabilité exploitée a été détectée par la technologie Exploit Prevention de Kaspersky, intégrée dans la plupart des produits de l’entreprise.
Les produits Kaspersky détectent l’exploit comme PDM:Exploit.Win32.Generic.

Les vulnérabilités zero-day sont des bogues logiciels jusqu’alors inconnus qui peuvent être exploités par des attaquants pour infliger des dommages. Ce nouvel exploit est utilisé dans les attaques qui tirent parti d’une injection de type « waterhole » dans un portail d’information en coréen. Un code JavaScript malveillant est inséré dans la page principale, qui à son tour charge un script de profilage à partir d’un site distant pour vérifier si le système de la victime pourrait être infecté en examinant les versions des identifiants utilisateur du navigateur. La vulnérabilité tente d’exploiter le bogue via le navigateur Google Chrome et le script vérifie si la version 65 ou ultérieure est utilisée. Cela donne à un attaquant une condition UaF (Use-After-Free), ce qui est très dangereux car il peut conduire à des scénarios d’exécution de code.

L’exploit détecté a été utilisé dans ce que les experts de Kaspersky appellent "Operation WizardOpium". Certaines similitudes dans le code indiquent un lien possible entre cette campagne et les attaques de Lazare. De plus, le profil du site Web ciblé est similaire à ce qui a été constaté lors d’attaques précédentes de DarkHotel, qui ont récemment déployé des attaques comparables.

"La découverte d’une nouvelle vulnérabilité zero-day de Google Chrome démontre une fois de plus que seule la collaboration entre la communauté de la sécurité et les développeurs de logiciels, ainsi qu’un investissement constant dans les technologies de prévention, peuvent nous protéger des attaques soudaines et cachées d’acteurs dangereux ", déclare Anton Ivanov, expert en sécurité chez Kaspersky.

Kaspersky recommande de prendre les mesures de sécurité suivantes :

• Installez le correctif Google dès que possible.

• Assurez-vous de mettre à jour régulièrement tous les logiciels utilisés dans votre entreprise et à chaque fois qu’un nouveau correctif de sécurité est publié. Les produits de sécurité dotés de capacités d’évaluation de la vulnérabilité et de gestion des correctifs peuvent aider à automatiser ces processus.

• Choisissez une solution de sécurité éprouvée, telle que Kaspersky Endpoint Security for Business, qui est équipée de capacités de détection fondées sur le comportement pour une protection efficace contre les menaces connues et inconnues.

• En plus d’adopter une protection essentielle des endpoints, utilisez une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, telle que Kaspersky Anti Targeted Attack Platform.

• Assurez-vous que votre équipe de sécurité a accès aux renseignements les plus récents sur les cybermenaces. Les clients de Kaspersky Intelligence Reporting ont accès à des rapports privés sur les derniers développements en matière de menaces. Pour de plus amples informations, veuillez contacter : intelreports@kaspersky.com

• Enfin, assurez-vous que votre personnel est formé pour comprendre et mettre en œuvre les principes en matière de cybersécurité.