我们的行为检测引擎和漏洞预防技术最近检测到了 Win32k内核驱动中一个漏洞在被利用，随即调查了该利用行为的背后一整个网络罪犯行为。我们给微软报告了这个漏洞(CVE-2021-40449)，之后其在 10月 12号的常规更新中修补了它。因此，我们会像往常一样在“补丁星期二”之后，推荐尽快更新微软 Windows。

█  CVE-2021-40449是用来做什么的

CVE-2021-40449是 Win32k驱动的 NtGdiResetDC函数中的一个释放后重用漏洞。一份详细的技术性描述可以在我们的Securelist帖子里看到，但，简而言之，该漏洞会导致计算机内存中的内核模块地址泄露。然后，网络罪犯利用该泄漏来给另一个恶意进程提权。

通过提权操作，攻击者能够下载并启动神秘蜗牛，一个能使攻击者进入受害者系统的远程访问木马（RAT）。

█  神秘蜗牛做了什么

这种木马先是收集被感染电脑的系统数据并发送给 C&C服务器。之后，攻击者就可以通过神秘蜗牛发送各种指令。例如，他们能创建，读取或者删除特定的文件；创建或删除一个进程；获得一个目录列表；亦或者打开一个代理通道并通过它发送数据。

神秘蜗牛还有其他一些包括查看连接的驱动器列表，在后台监控外部驱动器的连接情况，等等功能。这木马还可以启动 cmd.exe交互式外壳（通过将cmd.exe文件复制到一个名字不一样的临时文件夹中）。

█  CVE-2021-40449实施的攻击

该漏洞的利用手段覆盖了微软 Windows各系列的一连串操作系统。Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763), and Server 2019 (build 17763).据我们的专家所说，这种利用手段特别出现在服务器版本的操作系统提权当中。

在检测到威胁后，我们的专家发现，该漏洞及其加载到系统中的神秘蜗牛恶意软件在针对 IT公司、外交组织和为国防工业工作的公司的间谍活动中被广泛使用。

归功于卡巴斯基威胁归因引擎，我们的专家发现神秘蜗牛的代码和功能与IronHusky组织使用的恶意软件有相似之处。细思极恐，一个中文 APT组织在 2012年使用了神秘蜗牛的一些 C&C服务器地址。

了解更多关于这次攻击的信息，包括对漏洞和入侵指标的详细描述，请参阅我们的Securelist帖子。

█  如何保持安全

从安装微软最新补丁开始，通过安装强大的安全解决方案，在所有可以访问互联网的计算机上主动检测并阻止对漏洞的利用，在未来避免受到零日漏洞的打击。像卡巴斯基企业端点安全系统中的行为检测引擎和漏洞预防技术技术，检测到了 CVE-2021-40449漏洞。