Avertisment pentru Windows: problema pe care au exploatat-o hackerii

de: Răzvan Băltărețu
10 10. 2018

O serie de atacuri cibernetice au dus la identificarea unei noi amenințări în Windows. Aceasta e de tipul zero-day și atacurile au vizat peste 10 organizații diferite.

Kaspersky Lab a anunțat că tehnologia sa Automatic Exploit Prevention, inclusă în majoritatea soluțiilor endpoint pentru companii, a detectat noua vulnerabilitate în Windows. Atacurile au fost încercate de un nou malware care se folosea de o vulnerabilitate zero-day necunoscută până acum. Infractorii cibernetici voiau să obțină acces de lungă durată în sistemele victimelor.

Exploit-ul pentru Microsoft Windows a fost trimis victimelor prin intermediul unui backdoor PowerShell. Apoi a fost lansat cu scopul de a obține privilegiile necesare pentru a rămâne în sistem. Codul malware-ului a fost unul de calitate și a fost scris pentru a permite exploatarea cât mai multor active Windows cu putință.

Atacurile cibernetice au vizat în jur de 12 organizații diferite din Orientul Mijlociu, către finalul verii. Se bănuiește că autorul atacului ar putea să aibă legătură cu grupul FruityArmor – pentru că un backdoor PowerShell a mai fost folosit de acest grup în trecut. În momentul descoperirii, experți Kaspersky Lab au raportat imediat vulnerabilitatea către Microsoft.

Microsoft a rezolvat vulnerabilitatea din Windows pe 9 octombrie.

De ce era extrem de periculoasă vulnerabilitatea din Windows

Un atac prin intermediul unei vulnerabilități zero-day este una dintre cele mai periculoase forme de amenințări cibernetice, pentru că presupune exploatarea unei vulnerabilități care nu a fost încă detectată și reparată.

Dacă este descoperită mai întâi de atacatori, o vulnerabilitate zero-day poate fi folosită pentru crearea unui exploit care le va da acces la întregul sistem. Scenariul de atac din cazul de față este foarte folosit de grupări complexe, specializate în atacuri APT.

Kaspersky Lab a detectat proactiv acest exploit cu următoarelor tehnologii: motorul de detecție comportamentală și componentele Automatic Exploit Prevention, existente în interiorul produselor de securitate ale companiei, și motorul de sandboxing și anti-malware din platforma Anti Targeted Attack.

Cum poate fi evitat un exploit zero-day ca cel din Windows

Pentru a evita exploit-urile zero-day, compania de securitate cibernetică recomandă implementarea câtorva măsuri tehnice. Prima e evitarea software-ului care se știe că este vulnerabil sau a fost folosit recent în atacuri cibernetice.

Apoi, trebuie să te asiguri că software-ul folosit în companie (sau chiar acasă) este actualizat periodic cu cele mai recente versiuni. Produsele de securitate cu funcții de evaluare a vulnerabilităților și management al patch-urilor ar putea ajuta la automatizarea acestor procese.

Nu în ultimul rând, un sfat general valabil: folosește o soluție de securitate eficientă care dispune de funcții de detecție bazată pe comportament, pentru protecția împotriva amenințărilor cunoscute și necunoscute, care folosesc exploit-uri.