卡巴斯基：IE 11的零時差漏洞CVE-2020-1380曾被用來攻擊南韓企業

微軟在本周二（8/11）修補了120個漏洞，其中有一個零時差漏洞CVE-2020-1380是由資安業者卡巴斯基（Kaspersky）所揭露，在微軟修補該漏洞的隔天，卡巴斯基便詳述了發現漏洞的過程，宣稱駭客利用該漏洞並串連其它漏洞來攻擊一家南韓企業。

卡巴斯基將此一在今年5月發現的攻擊行動命名為Operation PowerFall，而且相信是由Darkhotel APT駭客集團所為。Operation PowerFall總計開採了兩個微軟的安全漏洞，先是以藏匿在IE 11上的CVE-2020-1380漏洞作為滲透Windows 10的媒介，再藉由Windows kernel中的CVE-2020-0986漏洞擴張權限以在系統上執行任意程式。

CVE-2020-1380是個記憶體損毀漏洞，肇因於腳本引擎處理IE記憶體中物件的方式，成功的攻擊將允許駭客取得與使用者相同的權限並接管系統，至於CVE-2020-0986則是個權限擴張漏洞，成功的開採則可於核心模式執行任意程式。

其實趨勢科技旗下的Zero Day Initiative（ZDI）在去年12月，就發現並向微軟提報了CVE-2020-0986漏洞，但當時微軟認為這是個不太可能被開採的漏洞而遲遲未修補，使得ZDI在今年的5月19日公布了漏洞細節，隔天，卡巴斯基便發現了利用CVE-2020-0986與CVE-2020-1380的攻擊行動。

當卡巴斯基分析了Operation PowerFall行動，並於6月8日知會微軟時，微軟已著手修補CVE-2020-0986，且在6月9日的Patch Tuesday釋出，因而微軟當時並未將CVE-2020-0986列為零時差攻擊行動。

另一個值得觀察的是Darkhotel APT駭客集團，Darkhotel APT名稱的由來是因為該集團專門滲透各大飯店，從2008年以來便開始於飯店系統中植入間諜程式，在數千家受到感染的飯店中，有9成位於日本、台灣、中國、俄羅斯及南韓，同時鎖定了入住這些飯店的高階主管，受害者遍布不同的產業，從電子製造、創投、醫療、化妝品與化學製造、汽車製造、自動組裝、國防、執法及軍事服務到非政府組織等。

目前卡巴斯基僅說Darkhotel APT是個擁有豐沛資源與先進開採技術，同時具備大型與動態基礎設施的駭客集團，並未公布它的來歷。