Pozor na novou zero-day zranitelnost Windows

Koncem léta 2021 zabránily automatické detekční technologie společnosti Kaspersky na několika serverech s Microsoft Windows sérii útoků využívajících exploit pro zvýšení úrovně oprávnění. Po bližší analýze útoku objevili výzkumníci společnosti Kaspersky nový zero-day exploit.

Během první poloviny roku zaznamenali odborníci společnosti Kaspersky nárůst útoků využívajících tzv. zranitelnost nultého dne. Jako „zero-day“ zranitelnost se označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dřív, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky můžou být mimořádně úspěšné.

Technologie společnosti Kaspersky zjistily sérii útoků využívajících exploit k zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Tento exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost CVE-2016-3309, bližší analýza však ukázala, že se jedná o nový zero-day exploit. Výzkumníci společnosti Kaspersky jej nazvali MysterySnail.

Nová hrozba od čínských hackerů?

Zjištěná podobnost kódu a způsobu použití infrastruktury C&C serverů vedly výzkumníky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012.

Analýzou dat přenášených malwarem použitým k šíření exploitu výzkumníci společnosti Kaspersky zjistili, že varianty tohoto malwaru se používaly v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům.

Zranitelnost byla nahlášena společnosti Microsoft a ten ji opravil 12. října 2021 v rámci říjnového záplatovacího úterý.

Produkty společnosti Kaspersky nyní tento exploit detekují a chrání IT systémy před zneužitím výš uvedené zranitelnosti a souvisejícími moduly malwaru.

„V posledních několika letech pozorujeme soustavný zájem útočníků o hledání a zneužívání nových zero-day zranitelností. Zranitelnosti, které výrobci dosud neznají, můžou představovat vážnou hrozbu pro všechny organizace. Většina takových exploitů však sdílí podobné chování. Proto je důležité spoléhat se na nejnovější informace o hrozbách a instalovat bezpečnostní řešení, která proaktivně vyhledávají dosud neznámé hrozby,“ popisuje Boris Larin, bezpečnostní expert z globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.

Chcete-li svoji organizaci ochránit před útoky zneužívajícími těchto zranitelností, odborníci společnosti Kaspersky doporučují někoik kroků.

• Co nejdříve aktualizujte operační systém Microsoft Windows a další software třetích stran a dbejte na pravidelné provádění aktualizací.

• Používejte spolehlivé řešení zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business, které je vybaveno prevencí zneužití, detekcí chování a nápravným mechanismem, který dokáže zrušit změny způsobené záškodnickými akcemi.

• Nainstalujte řešení k potlačení pokročilých perzistentních hrozeb (APT) a ochranu koncových bodů (EDR), která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení. Vše výše uvedené je k dispozici v rámci Kaspersky Expert Security.

• Společně se správnou ochranou koncových bodů můžou proti útokům na vysoce postavené cíle pomoct také specializované služby. Například nástroj Kaspersky Managed Detection and Response dokáže identifikovat a zastavit útoky už v jejich rané fázi, než útočníci dosáhnou zamýšlených cílů.