Tehnologiile automate ale Kaspersky Lab au detectat o vulnerabilitate necunoscută anterior în sistemul de operare Microsoft Windows. A fost folosită de un grup infracțional neidentificat, în încercarea de a obține controlul complet asupra unui dispozitiv vizat. Atacul a vizat centrul sistemului – kernel-ul – printr-un backdoor construit dintr-un element esențial al sistemului de operare Windows.
Backdoor-urile sunt un tip extrem de periculos de malware, deoarece le permit atacatorilor să controleze discret dispozitivele infectate, în interesul lor. O asemenea escaladare a privilegiilor de la o terță parte este, de obicei, greu de ascuns de soluțiile de securitate. Cu toate acestea, un backdoor care profită de un bug necunoscut anterior din sistem – o vulnerabilitate de tip zero-day – are șanse mult mai mari să treacă neobservat. Soluțiile obișnuite de securitate nu pot recunoaște infectarea sistemului și nici nu pot proteja utilizatorii de amenințările recunoscute până în prezent.
Tehnologia Exploit Prevention de la Kaspersky Lab a reușit, totuși, să detecteze încercarea de a exploata vulnerabilitatea necunoscută din Microsoft Windows. Scenariul de atac descoperit a fost următorul: odată ce fișierul .exe malware era lansat, începea instalarea programului malware. Infecția a folosit o vulnerabilitate zero-day și a obținut privilegii pentru persistența cu succes pe dispozitivul victimei. Malware-ul iniția apoi lansarea unui backdoor dezvoltat cu un element legitim al Windows, prezent pe toate dispozitivele care rulează acest sistem de operare – o structură de scripting denumită Windows PowerShell. Acest lucru le-a permis atacatorilor să treacă neobservați și să evite detecția, economisindu-le timpul necesar scrierii codului pentru instrumentele periculoase. Malware-ul a descărcat apoi un alt backdoor de la un serviciu popular de stocare de text, legitim, care, la rândul său, le-a dat infractorilor control total asupra sistemului infectat.
„În acest atac, am observat două tendințe principale pe care le vedem adesea în amenințările persistente avansate (APT)”, explică Anton Ivanov, security expert la Kaspersky Lab. „În primul rând, utilizarea exploit-urilor de escaladare a privilegiilor locale pentru a rămâne pe dispozitivul victimei. În al doilea rând, utilizarea unor structuri legitime precum Windows PowerShell pentru activități rău intenționate asupra dispozitivului victimei. Această combinație le dă atacatorilor capacitatea de a ocoli soluțiile standard de securitate. Pentru a detecta astfel de tehnici, soluția de securitate trebuie să utilizeze tehnologii de prevenire a exploit-urilor și motoare bazate pe detecție comportamentală.”
Produsele Kaspersky Lab au detectat exploit-ul ca:
- HEUR: Exploit.Win32.Generic
- HEUR: Trojan.Win32.Generic
- PDM: Exploit.Win32.Generic
Vulnerabilitatea a fost raportată companiei Microsoft și a primit un patch pe 10 aprilie.
Pentru a preveni instalarea de backdoor-uri prin vulnerabilități Windows de tip zero-day, Kaspersky Lab recomandă următoarele măsuri de securitate:
- Odată ce vulnerabilitatea este remediată și patch-ul este descărcat, atacatorii nu o mai pot folosi. Instalați patch-ul Microsoft pentru noua vulnerabilitate cât mai curând posibil.
- Dacă sunteți preocupați de siguranța întregii organizații, asigurați-vă că toate programele sunt actualizate de îndată ce este lansat un nou patch de securitate. Utilizați produsele de securitate cu capacități de evaluare a vulnerabilităților și de gestionare a patch-urilor, pentru a vă asigura că aceste procese se execută automat.
- Utilizați o soluție de securitate cu eficiență dovedită, ce are capacitate de detecție bazată pe comportament, pentru a proteja chiar și împotriva amenințărilor necunoscute.
- Asigurați-vă că echipa de securitate are acces la cele mai recente informații despre amenințările cibernetice. Rapoarte private despre cele mai recente evoluții în peisajul amenințărilor sunt disponibile pentru clienții serviciului Kaspersky Intelligence Reporting.
- Nu în ultimul rând, asigurați-vă că personalul este instruit în ceea ce privește elementele de bază ale securității informatice.
Pentru detalii despre noul exploit, se poate vedea raportul complet de pe Securelist.
Pentru a examina mai îndeaproape tehnologiile care au detectat acest lucru și alte vulnerabilități zero-day în Microsoft Windows, este disponibil un webinar Kaspersky Lab, pentru vizualizare la cerere.