Všichni uživatelé Windows by měli okamžitě aktualizovat, protože je potvrzeno hacknutí „Complete Control“.

Před pár týdny, výzkumníci z kybernetické firmy Eclypsium odhalil že téměř všichni hlavní výrobci hardwaru mají chybu, která může umožnit škodlivým aplikacím získat privilegia jádra na uživatelské úrovni, a tím získat přímý přístup k firmwaru a hardwaru.

Výzkumníci zveřejnili seznam prodejců systému BIOS a výrobců hardwaru, který zahrnoval Toshiba, ASUS, Huawei, Intel, Nvidia a další. Chyba se také týká všech nových verzí Windows, které zahrnují Windows 7, 8, 8.1 a Windows 10. Microsoft sice již vydal prohlášení potvrzující, že Windows Defender je více než schopen problém vyřešit, nezmínili se však o tom, že uživatelé potřebují být na nejnovější verzi systému Windows, abyste mohli využívat totéž. U starších verzí Windows Microsoft poznamenal, že bude používat schopnost HVCI (Hypervisor-enforced Code Integrity) k zablokování ovladačů, které jsou jim hlášeny. Tato funkce je bohužel dostupná pouze u procesorů Intel 7. generace a novějších; takže starší CPU nebo novější, kde je HCVI zakázáno, vyžadují ruční odinstalaci ovladačů.

Pokud to nebylo dost špatných zpráv, hackerům se nyní podařilo tuto chybu využít k zneužití uživatelů. Vzdálený přístup Trojan nebo RAT existuje již léta, ale nedávný vývoj jej učinil nebezpečnějším než kdy dříve. NanoCore RAT se dříve prodával na Dark Webu za 25 dolarů, ale byl prolomen v roce 2014 a hackerům byla zpřístupněna bezplatná verze. Poté se nástroj stal sofistikovaným, protože k němu byly přidány nové pluginy. Nyní výzkumníci z LMNTRX Labs objevili nový přírůstek, který umožňuje hackerům využít chyby a nástroj je nyní zdarma k dispozici na Dark Webu.

V případě, že jste tento nástroj podcenili, může hackerovi umožnit vzdálené vypnutí nebo restartování systému, vzdálené procházení souborů, přístup a ovládání Správce úloh, Editor registru a dokonce i myš. Nejen to, ale útočník může také otevírat webové stránky, deaktivovat kontrolku aktivity webové kamery, aby nepozorovaně špehoval oběť a zaznamenával zvuk a video. Vzhledem k tomu, že útočník má plný přístup k počítači, může také obnovit hesla a získat přihlašovací údaje pomocí keyloggeru a také uzamknout počítač pomocí vlastního šifrování, které může fungovat jako ransomware.

Dobrou zprávou je, že NanoCore RAT existuje již léta, tento software je bezpečnostním výzkumníkům dobře známý. tým LMNTRX (přes Forbes) rozdělil detekční techniky do tří hlavních kategorií:

• T1064 – Skriptování: Protože skriptování běžně používají správci systému k provádění rutinních úkolů, jakékoli neobvyklé provádění legitimních skriptovacích programů, jako je PowerShell nebo Wscript, může signalizovat podezřelé chování. Kontrola kódu makra v souborech Office může také pomoci identifikovat skriptování používané útočníky. Procesy Office, jako je winword.exe vytvářející instance cmd.exe, nebo skriptovací aplikace jako wscript.exe a powershell.exe, mohou naznačovat škodlivou aktivitu.

• T1060 – Spouštěcí klíče registru / spouštěcí složka: Sledování změn v registru pro spouštění klíčů, které nekorelují se známým softwarem nebo cykly oprav, a sledování počáteční složky pro přidání nebo změny může pomoci detekovat malware. Podezřelé programy spouštěné při spuštění se mohou při srovnání s historickými údaji jevit jako odlehlé procesy, které dosud nebyly pozorovány. Řešení jako LMNTRIX Respond, která monitoruje tato důležitá místa a upozorňují na jakoukoli podezřelou změnu nebo přidání, mohou pomoci odhalit toto chování.

• T1193 – Spearphishing Příloha: Systémy detekce narušení sítě, jako je LMNTRIX Detect, lze použít k detekci spearphishing se škodlivými přílohami při přenosu. V případě LMNTRIX Detect mohou vestavěné detonační komory detekovat škodlivé přílohy na základě chování, spíše než podpisů. To je zásadní, protože detekce založená na signaturách často selhává při ochraně před útočníky, kteří často mění a aktualizují své užitečné zatížení.

Celkově lze říci, že tyto detekční techniky platí pro organizace a pro osobní/domácí uživatele, nejlepší věc, kterou nyní můžete udělat, je aktualizovat každý kus softwaru, abyste se ujistili, že běží na nejnovější verzi. To zahrnuje ovladače systému Windows, software třetích stran a dokonce i aktualizace systému Windows. A co je nejdůležitější, nestahujte ani neotevírejte žádné podezřelé e-maily ani neinstalujte žádný software třetích stran od neznámého dodavatele.