En sårbarhed i Microsofts VBScript-motor udnyttes af hotel-spioner

En sårbarhed i Microsofts VBScript-motor er blevet udnyttet af hackere, der beskrives som værende en del af Darkhotel-gruppen.

Sikkerhedsfirmaet Kaspersky bragte Darkhouse frem i lyset tilbage i 2014, hvor det russiske firma beskrev det som en langtidsoperation, der er rettet mod forretningsmænd og statslige repræsentanter, indlogeret på hoteller i Asien.

Darkhouse er ifølge flere sikkerhedsfirmaer forbundet til styret i Nordkorea.

Sikkerhedsforskere fra virksomheden Trend Micro har observeret, at sårbarheden (CVE-2018-8373) er blevet udnyttet siden juli. Svagheden er blevet lukket i forbindelse med patch Tuesday-opdateringerne i august, hvilket betyder, at det er vigtigt, at få installeret den pakke.

Sårbarheden rammer internet Explorer 11, og den give en angriber potentiel mulighed for at afvikle shell-kode på sårbare systemer.

Efter analysen har Trend Micro fundet ud af, at sårbarheden har fællestræk med en anden VBScrip-svaghed (CVE-2018-8174), kendt som Double Kill. Den blev lukket tidligere på året.

Anbefaling:

Opdater altid dine softwareprodukter med de nyeste opdateringer fra producenten.

Links:

• North Korea-linked Dark Hotel APT leverages CVE-2018-8373 exploit, artikel fra Securityaffairs.
• Zero-Day In Microsoft's VBScript Engine Used By Darkhotel APT, artikel fra Bleepingcomputer.
• Darkhotel: a spy campaign in luxury Asian hotels, analyse af Darkhotel fra Kaspersky.
• Use-after-free (UAF) Vulnerability CVE-2018-8373 in VBScript Engine Affects Internet Explorer to Run Shellcode, Trend Micros analyse.