Kaspersky Lab odkril kritično ranljivost operacijskega sistema Windows

Zlonamerna programska oprema, ki vzpostavi stranska vrata, je zelo nevarna, saj omogoča napadalcem, da neopazno nadzorujejo okužene naprave. Takšno povečanje posebnih pravic tretje osebe je sicer težko skriti pred varnostnimi rešitvami. A omenjena zlonamerna programska oprema ima z izkoriščanjem prej neznane luknje sistema, gre za ranljivost ničtega dneva, znatno več možnosti, da deluje neopaženo. Običajne varnostne rešitve namreč ne morejo prepoznati okužbe sistema in tako ne morejo zaščiti uporabnika pred grožnjo, ki jo je šele potrebno prepoznati.

Tehnologija ‘Kaspersky Lab Exploit Prevention’, namenjena preprečevanju programske opreme, ki izkorišča luknje v računalniškem sistemu, je bila kljub temu sposobna zaznati poskus izkoriščanja neznane ranljivosti operacijskega sistema Microsoft Windows. Scenarij napada je bil sledeč: po zagonu izvršljive zlonamerne datoteke (.exe), se je namestitev zlonamerne programske opreme začela. Zlonamerna programska oprema je z okužbo izkoristila ranljivost ničtega dneva in uspela pridobiti posebne pravice za uspešen obstanek na napravi žrtve. Nato je sprožila vzpostavitev stranskih vrat prek uporabe zakonitega elementa operacijskega sistema Windows. Gre za ogrodje ukazne lupine, imenovano Windows PowerShell, ki je prisoten na vseh napravah s tem operacijskim sistemom. To je omogočilo napadalcem, da so se izognili zaznavi, s čimer so prihranili čas pri pisanju kode za zlonamerna orodja. Zlonamerna programska oprema je nato prenesla še druga stranska vrata preko priljubljene zakonite storitve za shranjevanje besedil, s čimer so kriminalci pridobili popoln nadzor nad okuženim sistemom.

»V tem napadu smo lahko videli dva glavna trenda, ki sta pogostokrat prisotna pri naprednih trajnih grožnjah. Prvi trend je uporaba lukenj v računalniškem sistemu za pridobitev večjih pooblastil in tako uspešen obstoj na napravi žrtve. Za drug trend je značilna uporaba zakonitega ogrodja, kot je Windows PowerShell, za zlonamerno aktivnost na napravi žrtve. Kombinacija obeh pristopov omogoča napadalcem, da zaobidejo zaznavne sisteme običajnih varnostnih rešitev. Za zaznavo takšnih tehnik morajo varnostne rešitve namreč uporabljati tehnologijo za preprečevanje programske opreme, ki izkorišča ranljivosti v računalniškem sistemu, in sisteme za zaznavo vedenjskih vzorcev,« razlaga Anton Ivanov, varnostni raziskovalec v družbi Kaspersky Lab.

Ranljivost je bila sporočena družbi Microsoft in odpravljena 10. aprila 2019.

Kaspersky Lab uporabnikom svetuje, da za preprečitev namestitve zlonamerne programske opreme, ki vzpostavi stranska vrata preko ranljivosti ničtega dneva operacijskega sistema Windows, upoštevajo naslednje varnostne ukrepe:

• Ko je ranljivost odpravljena in popravek naložen, jo morebitni napadalci ne morejo več uporabiti. Zato namestite Microsoftove popravke ugotovljenih ranljivosti takoj, ko je to mogoče.
• Če vas skrbi varnost vaše organizacije, se prepričajte, da je vsa programska oprema posodobljena, takoj ko so na voljo nove varnostne posodobitve. Da zagotovite samodejno odvijanje procesov, uporabljajte varnostne izdelke, ki vključujejo ocenjevanje ranljivosti in zmožnost upravljanja popravkov.
• Uporabljajte preizkušeno varnostno rešitev, ki ima zmožnost zaščite pred nepoznanimi grožnjami na osnovi zaznave vedenja, kot je Kaspersky Endpoint Security.
• Prepričajte se, da ima vaša varnostna ekipa dostop do najnovejšega strokovnega znanja s področja kibernetskih varnostnih groženj. Zasebna poročila o najnovejšem razvoju krajine groženj so dostopna strankam storitve Kasperesky Intelligence Reporting.
• Zagotovite, da ima vaše osebje osnovne veščine za zagotavljanje spletne varnosti.