Kaspersky atrod mērķētos uzbrukumos izmantotu Windows nulles dienas ievainojamību

3. janvāris 2020
Kaspersky automatizētās noteikšanas tehnoloģijas ir atradušas Windows nulles dienas ievainojamību. Ekspluatējums, kas balstīts uz šo ievainojamību, ļāva uzbrucējiem iegūt augstākas pilnvaras uzbrukumam pakļautajās ierīcēs un apiet pārlūka Google Chrome aizsardzības mehānismus. Jaunatklātais ekspluatējums tika izmantots ļaunprātīgā operācijā WizardOpium. 
 
Nulles dienas ievainojamības ir iepriekš nezināmas kļūdas programmatūrā. Ja noziedznieki tās atrod pirmie, viņi var ilgi rīkoties nepamanīti, nodarot nopietnu un negaidītu kaitējumu. Parastie drošības risinājumi nespēj ne pazīt sistēmas infekciju, ne aizsargāt lietotājus no vēl nepazīstamiem apdraudējumiem. 

Jauno Windows ievainojamību Kaspersky pētniekiem ļāva atklāt kāds cits nulles dienas ievainojamības ekspluatējums. 2019. gada novembrī Kaspersky ekspluatējumu novēršanas tehnoloģijai, kas ir iebūvēta lielākajā daļā uzņēmuma risinājumu, izdevās pamanīt nulles dienas ekspluatējumu pārlūkam Google Chrome. Šis ekspluatējums ļāva uzbrucējiem izpildīt patvaļīgu kodu upuru datoros. Turpinot pētīt šo operāciju, ko eksperti nodēvēja par WizardOpium, tika konstatēta vēl viena ievainojamība — šoreiz operētājsistēmā Windows.

Izrādījās, ka jaunatklātais nulles dienas pilnvaru paaugstināšanas ekspluatējums (CVE-2019-1458) bija iebūvēts iepriekš atrastajā Google Chrome ekspluatējumā. Tas tika izmantots, lai iegūtu augstākas pilnvaras inficētajā ierīcē, kā arī izvairītos no Chrome procesu smilškastes (izmēģināšanas vides) — komponenta, kas ir izveidots, lai pasargātu pārlūku un upura datoru no ļaunprātīgiem uzbrukumiem. 

Pilnvaru paaugstināšanas ekspluatējuma sīkāka analīze parādīja, ka ļaunprātīgi izmantotā ievainojamība attiecas uz win32k.sys draiveri. Ievainojamību var ļaunprātīgi izmantot jaunākajās, labotajās Windows 7 versijās un pat dažos Windows 10 būvējumos (Windows 10 jaunās versijas nav skartas).

Kaspersky drošības risinājumi nosaka šo ekspluatējumu ar verdiktu PDM:Exploit.Win32.Generic. 

Par ievainojamību tika ziņots korporācijai Microsoft, un tā tika aizlāpīta 2019. gada 10. decembrī.

Lai nepieļautu lūku instalēšanu, izmantojot Windows nulles dienas ievainojamību, Kaspersky iesaka veikt šādus drošības pasākumus.

  • Nekavējoties instalējiet jaunajai ievainojamībai paredzēto Microsoft ielāpu. Kad ielāps ir lejupielādēts, uzbrucēji vairs nevar ļaunprātīgi izmantot ievainojamību.
  • Ja esat ieinteresēts visas organizācijas drošībā, nodrošiniet, lai visa programmatūra tiek atjaunināta, tiklīdz ir izlaists jauns drošības ielāps. Izmantojiet drošības risinājumus, piemēram, Kaspersky Endpoint Security, ar ievainojamību novērtēšanas un ielāpu pārvaldības funkcijām, lai nodrošinātu, ka šie procesi norit automātiski.
  • Aizsardzībai pret nezināmiem apdraudējumiem izmantojiet pārbaudītu drošības risinājumu ar uz uzvedību balstītām noteikšanas funkcijām, piemēram, Kaspersky Endpoint Security.
  • Nodrošiniet, lai jūsu speciālistiem ir pieejami jaunākie kiberdraudu izlūkdati. Kaspersky Threat Intelligence pakalpojumu klienti var saņemt personiskus pārskatus par jaunākajiem notikumiem apdraudējumu vidē. Lai saņemtu papildu informāciju.
  • Aizdomīgu objektu analizēšanai izmantojiet smilškasti jeb izmēģināšanas vidi. Pamata piekļuve Kaspersky mākoņa izmēģināšanas videi ir pieejama https://opentip.kaspersky.com/.
Lai uzzinātu vairāk par jauno ekspluatējumu, lasiet visu pārskatu vietnē Securelist.

Lai tuvāk iepazītos ar tehnoloģijām, kas konstatēja šo un citas Microsoft operētājsistēmas Windows nulles dienas ievainojamības, varat noskatīties Kaspersky tīmekļsemināra ierakstu.

Par Kaspersky
Kaspersky ir starptautisks kiberdrošības risinājumu ražotājs ar pārvaldītājsabiedrību Apvienotajā Karalistē un digitālo infrastruktūru, kas tiek migrēta uz Šveici. Tam ir izpētes centri 3 kontinentos, biroji 5 kontinentos, vairāk kā 4000 darbinieku un tas darbojas gandrīz 200 valstīs un teritorijās.

Kaspersky strādā informācijas drošības jomā kopš 1997. gada. Dziļas speciālās zināšanas un pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, kritiskās infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky plašais piedāvājumu klāsts ietver inovatīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.