Kaspersky Lab wykrywa lukę dnia zerowego w zabezpieczeniach systemu Windows
Technologie firmy Kaspersky Lab wykryły nową lukę w zabezpieczeniach systemu Microsoft Windows, która prawdopodobnie była wykorzystywana w atakach ukierunkowanych przez co najmniej dwa ugrupowania cyberprzestępcze, łącznie z wykrytym niedawno gangiem SandCat. Jest to czwarty exploit dnia zerowego zidentyfikowany w rzeczywistych warunkach przez technologię automatycznego zapobiegania exploitom firmy Kaspersky Lab. Kaspersky Lab zgłosił lukę firmie Microsoft, która udostępniła odpowiednią łatę. Luka nosi oznaczenie CVE-2019-0797.
Luki dnia zerowego to nieznane wcześniej błędy w oprogramowaniu, które mogą zostać wykorzystane przez atakujących w celu włamania się do urządzeń i sieci ofiar. Nowy exploit wykorzystuje lukę w zabezpieczeniach graficznego podsystemu Microsoft Windows w celu zwiększenia swoich przywilejów w systemie. Zapewnia to przestępcy pełną kontrolę nad komputerem ofiary. Przeanalizowana przez badaczy z Kaspersky Lab próbka szkodliwego oprogramowania pokazuje, że celem tego exploita jest system operacyjny Windows w wersji od 8 do 10.
Badacze uważają, że wykryty exploit mógł zostać wykorzystany przez kilka ugrupowań cyberprzestępczych, w tym, między innymi, FruityArmor oraz SandCat. Wiadomo, że FruityArmor wykorzystywał już w przeszłości luki dnia zerowego, podczas gdy SandCat to nowe ugrupowanie cyberprzestępcze, które zostało odkryte niedawno.
Wykrycie nowej, aktywnie wykorzystywanej luki dnia zerowego w zabezpieczeniach systemu Windows pokazuje, ugrupowania cyberprzestępcze nadal interesują się tymi drogimi i rzadkimi narzędziami, a organizacje potrzebują rozwiązań zabezpieczających, które zapewniają ochronę przed nieznanymi zagrożeniami. Podkreśla również znaczenie współpracy między branżą bezpieczeństwa a twórcami oprogramowania: wyszukiwanie błędów, odpowiedzialne ujawnianie luk w zabezpieczeniach oraz niezwłoczne udostępnianie łat to najlepsze sposoby zabezpieczenia użytkowników przed nowymi i wyłaniającymi się zagrożeniami – powiedział Anton Iwanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
Omawiana luka została wykryta przez technologię automatycznego zapobiegania exploitom firmy Kaspersky Lab, wbudowaną w większość produktów firmy.
Produkty firmy Kaspersky Lab wykrywają omawianego exploita jako:
- HEUR:Exploit.Win32.Generic,
- HEUR:Trojan.Win32.Generic,
- PDM:Exploit.Win32.Generic.
Kaspersky Lab zaleca podjęcie następujących środków bezpieczeństwa:
- Jak najszybciej zainstaluj łatę firmy Microsoft dla nowej luki w zabezpieczeniach. Łata jest dostępna na stronie https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0797.
- Regularnie aktualizuj wszystkie programy. Produkty zabezpieczające z funkcjami oceny luk w zabezpieczeniach oraz zarządzania łatami mogą pomóc zautomatyzować te procesy.
- Postaw na sprawdzone rozwiązanie zabezpieczające, takie jak np. Kaspersky Endpoint Security, które jest wyposażone w możliwości wykrywania opartego na zachowaniu w celu zapewnienia skutecznej ochrony przed znanymi i nieznanymi zagrożeniami, w tym exploitami.
- Jeśli Twoja firma wymaga wysoce wyrafinowanej ochrony, stosuj zaawansowane narzędzia zabezpieczające, takie jak Kaspersky Anti Targeted Attack Platform (KATA).
- Upewnij się, że zespół ds. bezpieczeństwa posiada dostęp do najnowszych danych analizy cyberzagrożeń. Prywatne raporty dotyczące najnowszych wydarzeń związanych z krajobrazem zagrożeń są dostępne dla klientów usługi Kaspersky Threat Intelligence.
- Niemniej ważne jest również zapewnienie personelowi szkolenia z podstaw higieny cyberbezpieczeństwa.
Dalsze szczegóły dotyczące nowego exploita są dostępne na stronie https://r.kaspersky.pl/Swtyi.
Niedawno Kaspersky Lab poprowadził webinarium pozwalające przyjrzeć się bliżej technologiom, które wykryły ten i inne exploity dnia zerowego w systemie Windows firmy Microsoft. Zapis webinarium jest dostępny tutaj.
