Компания Kaspersky обнаружила используемую злоумышленниками в целевых атаках уязвимость нулевого дня Windows

3 января 2020
Компания Kaspersky обнаружила уязвимость нулевого дня в ОС Windows, которую злоумышленники уже успели использовать во вредоносной операции WizardOpium. Программа-эксплойт для этой уязвимости позволяла организаторам атак повышать свои привилегии в заражённой системе и избегать защитных механизмов, встроенных в браузер Google Chrome. 

Эксперты Kaspersky сообщили Microsoft об обнаруженной угрозе, и компания выпустила патч, который устраняет эту уязвимость. Найти брешь в Windows специалистам Kaspersky помогло исследование другой уязвимости нулевого дня. В ноябре 2019 года технология автоматической защиты от эксплойтов, встроенная во многие решения компании, выявила эксплойт нулевого дня в Google Chrome. Этот зловред позволял злоумышленникам выполнять произвольный код на компьютере жертвы. Изучая данный инцидент, ставший известным как операция WizardOpium, эксперты Kaspersky обнаружили ещё одну неизвестную уязвимость – на этот раз в операционной системе Windows.

Как показало расследование, эксплойт для уязвимости нулевого дня в Windows (CVE-2019-1458) был встроен в уже известный эксплойт для Google Chrome. Эта новая вредоносная программа позволяла злоумышленникам повышать свои привилегии в заражённой системе и избегать детектирования с помощью встроенной песочницы Google Chrome. Сама уязвимость находилась в драйвере win32k.sys и могла затронуть новейшие версии Windows 7, а также некоторые сборки Windows 10 (новые версии этой ОС не были затронуты).

Решения Kaspersky распознают эксплойт для уязвимости нулевого дня в Windows как PDM:Exploit.Win32.Generic и блокируют его активность.

Об этой уязвимости сообщили Microsoft и она была исправлена 10 декабря 2019 года.

Kaspersky рекомендует следующие меры безопасности, чтобы предотвратить установку люков с помощью уязвимостей нулевого дня Windows.
Немедленно установите новый патч Microsoft закрытия уязвимости. После того, как патч будет загружен, злоумышленники больше не могут злоупотреблять уязвимостями.
Если вы заинтересованы в безопасности всей вашей организации, убедитесь, что все программное обеспечение обновляется сразу после выпуска новых патчей безопасности. Используйте решения безопасности, например, Kaspersky Endpoint Security с оценкой уязвимостей и управлением исправлениями, чтобы эти процессы происходили автоматически.
Используйте проверенное решение для обеспечения безопасности с функциями поведенческого обнаружения, такими как Kaspersky Endpoint Security, для защиты от неизвестных угроз.
Убедитесь, что департамент безопасности имеет доступ к последним сведениям о киберугрозах. Клиенты Kaspersky Threat Intelligence могут получать персональные отчеты о последних событиях в среде угроз.
Используйте пробную среду для анализа подозрительных объектов. Базовый доступ к пробной среде Kaspersky Cloud доступен по адресу https://opentip.kaspersky.com/

Подробнее об угрозе можно прочитать на портале Securelist.

О Kaspersky
Kaspersky – международная компания, работающая в сфере информационной безопасности уже 21 год. Глубокие экспертные знания и двадцатилетний опыт компании лежат в основе защитных решений и сервисов, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и пользователей во всем мире. Обширное портфолио Kaspersky включает в себя передовые продукты для защиты конечных устройств, а также ряд специализированных решений и сервисов для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии Kaspersky защищают более 400 миллионов пользователей и 270 тысяч корпоративных клиентов, помогая сохранить то, что для них важно.