Nowa, krytyczna luka w zabezpieczeniach systemu Windows

Przeczytaj także: Nowa luka w zabezpieczeniach Microsoft Windows

Zagrożenie wywoływane przez backdoory jest o tyle poważne, że pozwalają one cyberprzestępcom na pełną dyskrecję w kontrolowaniu zainfekowanych urządzeń i wykorzystywaniu ich do własnych celów. I wprawdzie taki wzrost przywilejów kogoś z zewnątrz jest przeważnie dość łatwo zauważalny, to jednak backdoor, który żeruje na nieznanej wcześniej luce dnia zerowego, ma znacznie większe możliwości pozostać niedostrzeżonym. Proste zabezpieczenia nie są w stanie wykryć infekcji i obronić użytkowników przed zagrożeniem, które nie zostało jeszcze zidentyfikowane.

Pomimo tego technologii wbudowanej w produkty Kaspersky Lab udało się zdemaskować próbę wykorzystania nieznanej dotąd luki w zabezpieczeniach systemu Windows.

Atak przebiegał według następującego scenariusza: po uruchomieniu szkodliwego pliku .exe zainicjowana została instalacja szkodliwego oprogramowania. Podczas infekcji wykorzystano lukę dnia zerowego i zdobyto przywileje umożliwiające długotrwałą obecność w maszynie ofiary. Następnie szkodliwe oprogramowanie zainicjowało uruchomienie backdoora opracowanego z wykorzystaniem legalnego elementu występującego we wszystkich wersjach systemu Windows – Windows PowerShell. Dzięki temu cyberprzestępcy mogli uniknąć wykrycia, zyskując czas na tworzenie kodu szkodliwych narzędzi. Następnie szkodnik pobierał innego backdoora, co z kolei zapewniało cyberprzestępcom pełną kontrolę nad zainfekowanym systemem.

W ataku tym zaobserwowaliśmy dwa główne trendy, często spotykane w przypadku zaawansowanych długotrwałych zagrożeń (APT). Po pierwsze, wykorzystanie eskalacji przywilejów lokalnych w celu długotrwałego przetrwania w maszynie ofiary. Po drugie, wykorzystanie legalnych struktur, takich jak Windows PowerShell, w celu prowadzenia szkodliwej aktywności na maszynie ofiary. Takie połączenie umożliwia cyberprzestępcom obejście standardowych rozwiązań zabezpieczających. Aby móc wykryć takie techniki, system bezpieczeństwa musi być wyposażony w silnik ochrony przed exploitami oraz wykrywanie oparte na zachowaniu procesów w systemie – wyjaśnia Anton Iwanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.

Produkty Kaspersky Lab wykryły nowego exploita pod następującymi nazwami:

• HEUR:Exploit.Win32.Generic,
• HEUR:Trojan.Win32.Generic,
• PDM:Exploit.Win32.Generic.

Omawiana luka została zgłoszona firmie Microsoft, która załatała ją 10 kwietnia 2019 r.

Porady bezpieczeństwa

Aby nie dopuścić do instalacji backdoorów za pośrednictwem luki dnia zerowego w systemie Windows, Kaspersky Lab zaleca podjęcie następujących środków bezpieczeństwa:

• Pobierając łatę udostępnioną dla luki w zabezpieczeniach, pozbawisz cyberprzestępców możliwości wykorzystania jej. Dlatego niezwłocznie zainstaluj łatę firmy Microsoft dla najnowszej luki.
• Jeśli jesteś odpowiedzialny za bezpieczeństwo całej swojej organizacji, dopilnuj, aby wszystkie programy były niezwłocznie aktualizowane, jak tylko zostanie udostępniona nowa łata bezpieczeństwa. W automatyzacji tych procesów pomocne mogą być produkty zabezpieczające oferujące funkcje oceny luk w zabezpieczeniach oraz zarządzania łatami.
• W celu zapewnienia ochrony przed nieznanymi zagrożeniami stosuj sprawdzone rozwiązanie zabezpieczające, takie jak Kaspersky Endpoint Security, które jest wyposażone w funkcje wykrywania oparte na analizie zachowania procesów w systemie.
• Zadbaj o to, aby zespół ds. bezpieczeństwa posiadał dostęp do najnowszych danych analitycznych dot. cyberzagrożeń. Prywatne raporty dotyczące najnowszych trendów w krajobrazie zagrożeń są dostępne dla klientów usługi Kaspersky Intelligence Reporting. Więcej informacji na ten temat można uzyskać, pisząc na adres intelreports@kaspersky.com.
• Zadbaj również o to, aby personel posiadał podstawową znajomość higieny związanej z cyberbezpieczeństwem.