Automatizovane tehnologije detekcije kompanije Kaspersky otkrile su ranjivost nultog dana za Windows. Iskorišćavanje ove ranjivosti omogućavalo je napadačima da steknu više privilegija na napadnutom uređaju i izbegnu mehanizme zaštite u Google Chrome pretraživaču. Novootkrivena ranjivost je korišćena u malicioznim operacijama grupe WizardOpium.
Ranjivosti nultog dana su prethodno nepoznati bagovi u softveru koji, ako ih kriminalci prvi otkriju, omogućavaju da je dugo iskorišćavaju neprimećeni, nanoseći ozbiljnu i neočekivanu štetu. Redovna bezbednosna rešenja ne identifikuju da je sistem inficiran, niti mogu da zaštite korisnike od pretnje koja tek treba da se otkrije.
Nova Windows ranjivost otkrivena je od strane istraživača kompanije Kaspersky zahvaljujući još jednoj ranjivosti nultog dana. U novembru 2019, Exploit Prevention tehnologija kompanije Kaspersky koja je ugrađena u većinu proizvoda kompanije je uspela da otkrije ranjivost nultog dana na Google Chrome pretraživaču. Ova ranjivost omogućavala je napadačima da izvršavaju arbitrarne kodove na uređajima žrtava. Nakon daljeg istraživanja ove operacije koju su stručnjaci nazvali „WizardOpium“, još jedna ranjivost je otkrivena, ovaj put na operativnom sistemu Windows.
Novootkrivena ranjivost nultog dana na Windows operativnom sistemu je elevation of privileges (EoP) eksploit (CVE-2019-1458) koji je bio ugrađen u prethodno otkrivenu Google Chrome ranjivost. Korišćen je za dobijanje većih privilegija na inficiranom uređaju, kao i za izbegavanje Chrome process sandboxa, komponente napravljene da zaštiti pretraživač i računar žrtve od malicioznih napada. Detaljna analiza EoP eksploita je pokazala da zloupotrebljena ranjivost pripada win32k.sys drajveru. Ranjivost je mogla da se zloupotrebljava na najnovijim zakrpljenim verzijama sistema Windows 7 i čak i na nekoliko verzija sistema Windows 10 (nove verzije Windows 10 nisu pod uticajem). „Ovakva vrsta napada zahteva značajne resurse. Međutim, daje značajne prednosti napadačima i kao što možemo da vidimo, oni su spremni da ih iskoriste. Broj ranjivosti nultog dana „u divljini“ nastavlja da raste i ovaj trend verovatno neće nestati. Organizacije moraju da se oslanjaju na najnovija obaveštenja o pretnjama koja su im dostupna i da poseduju zaštitne tehnologije koje proaktivno pronalaze nepoznate pretnje poput ranjivosti nultog dana“, izjavio je Anton Ivanov, stručnjak za bezbednost u kompaniji Kaspersky. Proizvodi kompanije Kaspersky otkrili su ovu ranjivost putem PDM:Exploit.Win32.Generic. Ova ranjivost je prijavljena kompaniji Microsoft i zakrpljena 10. decembra 2019.
Kako biste sprečili instalaciju bekdora putem Windows ranjivosti nultog dana, iz kompanije Kaspersky preporučuju sledeće bezbednosne mere:
-
Instalirajte Microsoft zakrpu za novu ranjivost što pre. Kada se preuzme zakrpa, akteri pretnje više ne mogu da zloupotrebe ranjivost;
-
Postarajte se da su svi softveri ažurirani čim izađe nova bezbednosna zakrpa, ukoliko ste zabrinuti za bezbednost čitave organizacije. Koristite bezbednosne proizvode sa mogućnošću procene ranjivosti i upravljanja zakrpama kako biste osigurali da se ovi procesi odvijaju automatski
-
Koristite dokazana bezbednosna rešenja sa sposobnostima detekcije baziranim na ponašanju za zaštitu od nepoznatih pretnji, poput Kaspersky Endpoint Security;
-
Osigurajte da vaš bezbednosni tim ima pristup najnovijim obaveštenjima o sajber pretnjama. Privatni izveštaji o najnovijim razvojima u okruženju pretnji dostupni su korisnicima rešenja Kaspersky Threat Intelligence. Za više detalja, kontaktirajte intelreports@kaspersky.com;
- Koristite sandbox tehnologiju za analiziranje sumnjivih objekata. Osnovni pristup Kaspersky Cloud Sandbox dostupan je na https://opentip.kaspersky.com/.
Za više detalja o novoj ranjivosti, pročitajte kompletan izveštaj na Securelist. Za više detalja o tehnologijama koje su otkrile ovu i druge ranjivosti nultog dana na Microsoft Windows operativnom sistemu, pogledajte snimljeni vebinar kompanije Kaspersky koji je dopstupan na zahtev.