Microsoft kom i går med en håndfull sikkerhetsoppdateringer til selskapets programvare. Dette inkluderer også en til selskapets Silverlight-teknologi, som det fortsatt er nødvendig for å se visse typer webinnhold.
Det er sikkerhetsforskere ved Kaspersky Lab som oppdaget denne sårbarheten ble utnyttet i angrep, etter at de først hadde fått mistanke om at en slik sårbarhet faktisk eksisterte. Sårbarheten åpner for fjernkjøring av vilkårlig kode på systemet til dem som besøker et kompromittert nettsted.
Bakgrunnen for oppdagelsen er relatert til et angrep og en påfølgende lekkasje mot selskapet Hacking Team. Dette ble omtalt av digi.no i fjor sommer.
Forsøkt solgt
I lekkasjen ble blant korrespondansen mellom selskapet og Vitaliy Toropov, en uavhengig utvikler av angrepsverktøy, gjort tilgjengelig. Av dette gikk det fram at Toropov forsøkte å selge Hacking Team angrepskode som utnyttet en fire år gammel sårbarhet i Silverlight, som Microsoft ikke hadde fjernet. Dette ble i fjor nevnt i en artikkel hos Ars Technica.
Ifølge en rapport fra Kaspersky Lab var det ikke oppgitt detaljer om angrepskoden eller sårbarheten i korrespondansen. Men sikkerhetsforskerne hos Kaspersky oppdaget at bidragsyter til Open Source Vulnerability Database (OSVDB), som også kalte seg for Vitaliy Toropov, allerede i 2013 hadde publisert et konseptbevis for utnyttelse av en feil i Silverlight.
Det skal ha vært noen egenskaper i konseptbeviset som virkelig skilte seg ut, så av nysgjerrighet skal sikkerhetsforskerne hos Kaspersky Lab ha inkludert disse i selskapets skannerverktøy. Dersom disse egenskapene ble oppdaget på nytt i andre filer, ville filene ha blitt markert som høyst mistenkelige.
Tanken bak dette tok utgangspunkt i en idé om at Toropov nok ville forsøke å selge den samme angrepskoden også til andre spionvareleverandører, ikke bare til Hacking Team.
Fikk napp
Riktignok tok det noen måneder, men så fikk Kaspersky napp. En kunde av selskapet var blitt målet i et angrep hvor det ble brukt en fil med de særtrekkene sikkerhetsforskerne implementert i deteksjonsverktøyene.
Noen timer senere ble en fil med de samme særtrekkene lastet opp av fra Laos til en multiskannertjeneste. Etter å ha analysert angrepet og filen, konkluderte Kaspersky Lab med at det dreide seg om utnyttelse av en til da ukjent feil i Silverlight.
– Selv om i vi ikke vet om angrepskoden vi oppdaget faktisk er den som ble nevnt i Ars Technica-artikkelen, har vi sterk grunn til å tro at det dreier seg om den samme, sier Costin Raiu, direktør for det globale forsknings- og analyseteamet til Kaspersky Lab, i en pressemelding.
Trolig samme forfatter
– Sammenligning av analysen av denne filen med tidligere arbeid Vitaliy Toropov har gjort, gjør at vi mener at forfatteren av den nye oppdagede angrepskoden og forfatteren av konseptbeviset som ble publisert på OSVDB-nettstedet, er den samme personen.
Likevel utelukket vi ikke helt muligheten for at vi har funnet enda en nulldagssårbarhet i Silverlight, sier Raiu.
Sårbarheten gjelder både Windows- og Mac-utgavene av Silverlight. Dersom man ikke vet at man har behov for denne programvaren, kan man med fordel avinstallere den fra systemet. Heller ikke Microsoft oppmuntrer lenger til å bruke denne teknologien, som heller ikke støttes av nettlesere som Chrome og Edge.