- 10 Octombrie 2018
Exploit zero-day identificat pentru Microsoft Windows
Atacurile au fost încercate de un nou malware care se folosea de o vulnerabilitate zero-day necunoscută până acum, din sistemul de operare Microsoft Windows. Infractorii cibernetici voiau să obțină acces de lungă durată în sistemele victimelor, situate în Orientul Mijlociu. Vulnerabilitatea a fost rezolvată de Microsoft pe 9 octombrie.
Un atac prin intermediul unei vulnerabilități zero-day este una dintre cele mai periculoase forme de amenințări cibernetice, pentru că presupune exploatarea unei vulnerabilități care nu a fost încă detectată și reparată. Dacă este descoperită mai întâi de atacatori, o vulnerabilitate zero-day poate fi folosită pentru crearea unui exploit care le va da acces la întregul sistem. Scenariul de atac din cazul de față este foarte folosit de grupări complexe, specializate în atacuri APT.
Exploit-ul pentru Microsoft Windows a fost trimis victimelor prin intermediul unui backdoor PowerShell. Apoi a fost lansat cu scopul de a obține privilegiile necesare pentru a rămâne în sistem. Codul malware-ului a fost unul de calitate și a fost scris pentru a permite exploatarea cât mai multor active Windows cu putință.
Atacurile cibernetice au vizat în jur de 12 organizații diferite din Orientul Mijlociu, către finalul verii. Se bănuiește că autorul atacului ar putea să aibă legătură cu grupul FruityArmor – pentru că un backdoor PowerShell a mai fost folosit de acest grup în trecut. În momentul descoperirii, experții Kaspersky Lab au raportat imediat vulnerabilitatea către Microsoft.
Produsele Kaspersky Lab au detectat proactiv acest exploit, cu ajutorul următoarelor tehnologii:
- Motorul de detecție comportamentală Kaspersky Lab și componentele Automatic Exploit Prevention, existente în interiorul produselor de securitate ale companiei.
- Motorul complex de sandboxing și anti-malware din platforma Kaspersky Anti Targeted Attack
”În materie de vulnerabilități zero-day, este foarte important să monitorizăm activ amenințările pentru a descoperi exploit-uri noi. La Kaspersky Lab, cercetarea noastră continuă în domeniul informațiilor despre amenințări urmărește nu doar să descopere atacuri noi și să stabilească ținte ale diferiților atacatori cibernetici, ci și să vadă ce tehnologii folosesc infractorii. Ca rezultat al cercetării, avem o serie de tehnologii de detecție care ne permit să prevenim atacurile – de genul celui care intenționa să folosească această vulnerabilitate”, spune Anton Ivanov, security expert la Kaspersky Lab.
Pentru a evita exploit-urile zero-day, Kaspersky Lab recomandă implementarea următoarelor măsuri tehnice:
- Evitați utilizarea software-ului care se știe că este vulnerabil sau a fost folosit recent în atacuri cibernetice.
- Asigurați-vă că software-ul folosit în companie este actualizat periodic cu cele mai recente versiuni. Produsele de securitate cu funcții de evaluare a vulnerabilităților și management al patch-urilor ar putea ajuta la automatizarea acestor procese.
- Folosiți o soluție de securitate eficientă precum Kaspersky Endpoint Security for Business, dotată cu funcții de detecție bazată pe comportament, pentru protecția împotriva amenințărilor cunoscute și necunoscute, care folosesc exploit-uri.