2020 年春末，卡巴斯基的自动监测技术阻止了一次针对以及韩国公司的针对性攻击。进一步的分析发现，这次攻击使用了一个之前未知的包含两个零日漏洞的全链攻击：一个漏洞是 Internet Explorer 11 中的远程代码执行漏洞，另一个针对Windows的权限提升（EoP）漏洞。后一种漏洞被用来对最新版的 Windows 10 进行攻击。

零日漏洞是一种之前未知的软件漏洞。一旦被发现，这些漏洞可用来进行隐蔽的恶意活动，可造成严重和意想不到的危害。

在调查上述攻击时，卡巴斯基研究人员发现了两种零日漏洞。第一种是一个针对 Internet Explorer 的Use-After-Free漏洞，能够实现完整的远程代码执行功能。该漏洞的CVE（通用漏洞披露）编号为 CVE-2020-1380.

但是，由于 Internet Explorer 是在一个隔离环境中运行的，攻击者需要受感染计算机上的更多权限。这就是他们需要第二个漏洞的原因，该漏洞是在Windows中发现的，使用的是打印机服务中的漏洞。它允许攻击者在受害者的机器上执行任意代码。这个权限提升（EoP）漏洞的编号为CVE-2020-0986.

 “当使用零日漏洞的野外攻击发生时，对于网络安全社区总是大新闻。一旦成功检测到这类漏洞，软件厂商将立即面临压力，尽快发布补丁，要求用户安装所有必要的更新。在这次发现的攻击中，特别有意思的是，之前我们发现的漏洞主要是关于提升权限的。但是，这次的案例中还包括一个远程代码执行能力漏洞，而且这种漏洞更为危险。再加上能够影响最新版 Windows 10 的能力，使得发现的攻击非常罕见。这次的攻击再一次提醒我们，要对威胁情报以及经过验证的预防技术进行投资，以便能够主动监测最新的零日威胁，”卡巴斯基安全专家 Boris Larin 评论说。

根据新发现的漏洞和之前归属于 DarkHotel 威胁组织使用过的漏洞程序之前的微弱的相似性，卡巴斯基专家认为将这次攻击溯源至 DarkHotel 威胁组织的可信性较低。

有关该威胁组织的感染迹象详情，包括文件哈希值以及C2 服务器，请访问卡巴斯基威胁情报门户。

卡巴斯基产品将这些漏洞利用程序检测为以下结果：

PDM:Exploit.Win32.Generic.

针对权限提升漏洞CVE-2020-0986的补丁于 2020年6月9日发布。

针对远程代码执行漏洞CVE-2020-1380的补丁于2020年8月11日发布。

为了远离威胁，保持安全，卡巴斯基建议采取以下安全措施：

· 一旦有新的漏洞发现，尽快安装微软发布的安全补丁。一旦下载和安装补丁后，威胁行为者将无法再滥用这些漏洞。

· 为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户是公司威胁情报的一站式访问点，提供卡巴斯基20多年来收集的网络攻击数据和见解。 

· 为了获得端点级别的检测以及进行及时的事件调查和修复，请部署 EDR 解决方案，例如卡巴斯基端点检测和响应。

· 除了采取基础的端点保护外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台。

更多有关最新漏洞的详情，请查看完整版报告，地址Securelist.

想要进一步了解检测 Windows 中零日漏洞的技术详情，请点播卡巴斯基录制的网络研讨会。