MysterySnail: Kaspersky atrod Windows nulles dienas ievainojamības ekspluatējumu

14. oktobris 2021
2021. gada vasaras beigās Kaspersky automatizētās noteikšanas tehnoloģijas novērsa virkni pret Microsoft Windows serveriem vērstu uzbrukumu, kuros tika izmantots pilnvaru paaugstināšanas ekspluatējums. Rūpīgāk analizējot uzbrukumu, Kaspersky pētnieki atklāja jaunu nulles dienas ievainojamības ekspluatējumu.

Gada pirmajā pusē Kaspersky eksperti ir novērojuši uzbrukumu pieaugumu (skat. video), izmantojot nulles dienas ievainojamības. Nulles dienas ievainojamība ir nezināma programmatūras kļūda, ko uzbrucēji atklājuši, pirms programmatūras izstrādātājs ir par to uzzinājis. Tā kā izstrādātājs par to nezina, nulles dienas ievainojamībai nav neviena ielāpa, tāpēc uzbrukumiem ir negaidītības efekts, kas paaugstina to sekmīgumu un bīstamību.

Kaspersky tehnoloģijas vairākos Microsoft Windows serveros atklāja virkni uzbrukumu, kuros tika izmantota pilnvaru paaugstināšana. Ekspluatējumam bija daudz atkļūdošanas virkņu no vecāka, publiski zināma ievainojamības CVE-2016-3309 ekspluatējuma, taču rūpīgāka analīze parādīja, ka Kaspersky pētnieki ir atklājuši jaunu nulles dienas ievainojamības ekspluatējumu. Kaspersky pētnieki šo darbību kopu nodēvējuši par MysterySnail.

Atklātā koda līdzība, kā arī vadības un kontroles (C&C) infrastruktūras atkārtota izmantošana, lika pētniekiem saistīt šos uzbrukumus ar bēdīgi slaveno grupējumu IronHusky un ķīniešu valodā runājošā APT darbību, kas aizsākās 2012. gadā.

Analizējot ļaunprogrammatūras kodu, kas izmantots nulles dienas ekspluatējumā, Kaspersky pētnieki atklāja, ka šīs ļaunprogrammatūras varianti tikuši izmantoti plašās spiegošanas kampaņās pret IT uzņēmumiem, militārajiem un aizsardzības darbuzņēmējiem un diplomātiskajām struktūrām.

Par ievainojamību tika ziņots korporācijai Microsoft, un tās labojums ir izlaists 2021. gada 12. oktobrī kā daļa no oktobra "ielāpa otrdienas" labojumu laidiena.

Kaspersky produkti aizsargā pret iepriekš minētās ievainojamības un ar to saistīto ļaunprogrammatūras moduļu izmantošanu.

Jūs varat vairāk par jauno nulles dienas ievainojamību un ekspluatējumu vietnē Securelist.

Lai aizsargātu jūsu organizāciju no uzbrukumiem, kuros izmantotas iepriekš minētās ievainojamības, Kaspersky ekspertu ieteikumi ir sekojoši.

  • Atjauniniet Microsoft Windows operētājsistēmu un citu trešo pušu programmatūru pēc iespējas ātrāk un dariet to regulāri.
  • Izmantojiet uzticamu galiekārtu drošības risinājumu, piemēram, Kaspersky Endpoint Security for Business, kas nodrošina ekspluatējumu novēršanu, uzvedības noteikšanu un ļaunprātīgu darbību atritināšanu.
  • Instalējiet anti-APT un EDR risinājumus, kas nodrošina draudu atklāšanas un noteikšanas iespējas, izmeklēšanu un savlaicīgu incidentu novēršanu. Nodrošiniet savai SOC komandai piekļuvi jaunākajai informācijai par draudiem un regulāri paaugstiniet tās prasmes ar profesionālu apmācību. Viss iepriekš minētais ir pieejams Kaspersky Expert Security ietvaros.
  • Līdztekus pienācīgai galiekārtu aizsardzībai pret augsta līmeņa uzbrukumiem var palīdzēt specializēti pakalpojumi. Kaspersky Managed Detection and Response pakalpojums var palīdzēt identificēt un apturēt uzbrukumus agrīnā stadijā, pirms uzbrucēji sasniedz savus mērķus.
Par Kaspersky
Kaspersky ir globāls kiberdrošības uzņēmums, kas dibināts 1997. gadā. Kaspersky dziļās draudu izlūkošanas un drošības zināšanas pastāvīgi tiek pārveidotas par novatoriskiem drošības risinājumiem un pakalpojumiem, lai aizsargātu uzņēmējdarbību, kritisko infrastruktūru, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības risinājumu portfelī ietilpst vadošā galiekārtu aizsardzība un virkne specializētu drošības risinājumu un pakalpojumu, lai cīnītos pret sarežģītiem un mainīgiem digitāliem draudiem. Kaspersky tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 240 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo. Vairāk par Kaspersky lasiet šeit.

Par Starptautisko caurredzamības iniciatīvu
2017. gadā Kaspersky, konsultējoties ar valstu regulatoriem (īpaši Lielbritānijas, kas ir mītnes zeme Kaspersky pārvaldītājsabiedrībai), uzsāka savu Starptautisko caurredzamības iniciatīvu, kuras ietvaros uzņēmuma digitālā infrastruktūra, ieskaitot antivīrusu mākoni un virtuālo programmatūras salikšanas līniju, tiek migrēta uz Šveici, bet īpaši izveidotos Caurredzamības centros valdību regulatori, korporatīvie partneri un klienti var caurlūkot uzņēmuma produktu pirmkodu (un kompilēt to, lai pārliecinātos, ka tas atbilst produktiem tirgū), programmatūras atjauninājumus, ļaunprogrammatūras noteikšanas noteikumus, kā arī citus tehniskos un biznesa procesus (tas jau ir noticis vairāk kā 20 reizes). Plašāk par iniciatīvu un citiem tās ietvaros veiktajiem pasākumiem, kas faktiski aizsāk jauna uzticamības standarta izveidi IT nozarē, kā arī informāciju par pieteikšanos Caurredzamības centra apmeklējumam, atradīsiet lapā https://www.kaspersky.com/transparency-center, bet visaptverošu informāciju par caurredzamību Kaspersky darbībā atradīsiet lapā https://www.kaspersky.com/about/transparency.

Par Kaspersky Private Security Network Latvijā
Paaugstinātas drošības sistēmām un prasīgiem biznesa klientiem Kaspersky piedāvā unikālu risinājumu (mums nav zināmi līdzīgi risinājumi) - Kaspersky Private Security Network, kas paredz mākoņsistēmas izvietošanu klienta infrastruktūrā viņa pilnā pārziņā, līdz ar ko nekādi dati neatstāj klienta infrastruktūru, pie viena nodrošinot maksimāli augstu aizsardzības līmeni. Kā bezmaksas alternatīva tiek piedāvāts lokālais centralizēts Kaspersky Private Security Network Latvijā. Vairāk par to lasiet šeit.