Kaspersky wykrywa w systemie Windows lukę dnia zerowego

Przeczytaj także: Kolejna luka w Microsoft Windows wykryta

Luki dnia zerowego to nieznane błędy w oprogramowaniu, które dla swoich celów mogą wykorzystać cyberprzestępcy. Luka w Windows została zgłoszona firmie Microsoft i załatana 10 grudnia 2019 r. Zidentyfikowano ją dzięki innemu exploitowi dnia zerowego. W listopadzie 2019 roku firma Kaspersky wykryła exploita wykorzystującego lukę dnia zerowego w przeglądarce Google Chrome. Umożliwiał on atakującym wykonanie dowolnego kodu na maszynie ofiary. W trakcie dalszego badania operacji, określonej przez ekspertów jako „WizardOpium”, zidentyfikowano kolejną lukę, tym razem w systemie Windows.

Okazało się, że nowo wykryty exploit dnia zerowego dla systemu Windows umożliwiający zwiększenie uprawnień (CVE-2019-1458) został osadzony w wykrytym wcześniej exploicie dla przeglądarki Google Chrome. Wykorzystano go do uzyskania wyższych uprawnień w zainfekowanej maszynie, jak również uniknięcia piaskownicy przeglądarki Chrome – komponentu zabezpieczającego przeglądarkę oraz komputer użytkownika przed atakami cyberprzestępców.

Szczegółowa analiza exploita wykazała, że wykorzystywana luka znajduje się w sterowniku win32k.sys. Luka mogłaby zostać wykorzystana w posiadających najnowsze łaty wersjach systemu Windows 7, a nawet w kilku kompilacjach systemu Windows 10 (problem ten nie dotyczy jednak nowych wersji systemu Windows 10).

Zaplanowanie takiego ataku wymaga ogromnych zasobów, oferując jednocześnie znaczące korzyści atakującym. Liczba wykorzystywanych luk dnia zerowego nieustannie rośnie i nic nie wskazuje na to, że tendencja ta ulegnie odwróceniu. Dlatego firmy powinny wykorzystywać najbardziej aktualną analizę zagrożeń oraz posiadać technologie bezpieczeństwa, które potrafią proaktywnie identyfikować nieznane zagrożenia, takie jak exploity dnia zerowego – powiedział Anton Iwanow, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.

Produkty firmy Kaspersky wykrywają omawianego exploita jako PDM:Exploit.Win32.Generic.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące środki bezpieczeństwa pozwalające zapobiec instalacji szkodliwych narzędzi m.in. za pośrednictwem omawianej luki dnia zerowego w systemie Windows:

• Niezwłocznie zainstaluj łatę firmy Microsoft. Dzięki temu cyberprzestępcy nie będą już w stanie wykorzystać tej luki w systemie.
• Jeśli martwisz się o bezpieczeństwo całej organizacji, dopilnuj, aby wszystkie aplikacje były uaktualniane, jak tylko zostanie udostępniona nowa łata bezpieczeństwa. Jeśli chcesz mieć pewność, że procesy te przebiegają automatycznie, stosuj produkty bezpieczeństwa wyposażone w możliwości oceny luk w zabezpieczeniach oraz zarządzania łatami.
• W celu zapewnienia ochrony przed nieznanymi zagrożeniami wykorzystuj sprawdzone rozwiązanie zabezpieczające z możliwościami wykrywania w oparciu o zachowanie procesów w systemie, takie jak np. Kaspersky Endpoint Security.
• Dopilnuj, aby zespół ds. bezpieczeństwa posiadał dostęp do najnowszej analizy cyberzagrożeń. Prywatne raporty na temat aktualnej sytuacji dotyczącej krajobrazu zagrożeń są dostępne dla klientów usługi Kaspersky Intelligence Reporting. Dalsze szczegóły można uzyskać pod adresem: intelreports@kaspersky.com.
• Stosuj technologię piaskownicy w celu analizowania podejrzanych obiektów. Podstawowy, bezpłatny dostęp do usługi Kaspersky Cloud Sandbox można uzyskać na stronie https://opentip.kaspersky.com.