Alle Windows-brugere bør opdatere med det samme, da 'Complete Control'-hack er bekræftet

For et par uger siden kom forskere fra cybersikkerhedsfirmaet Eclypsium afslørede at næsten alle de store hardwareproducenter har en fejl, der kan tillade ondsindede applikationer at få kerneprivilegier på brugerniveau og derved få direkte adgang til firmware og hardware.

Forskerne udgav en liste over BIOS-leverandører og hardwareproducenter, som inkluderede Toshiba, ASUS, Huawei, Intel, Nvidia og flere. Fejlen påvirker også alle de nye versioner af Windows, som inkluderer Windows 7, 8, 8.1 og Windows 10. Selvom Microsoft allerede har udgivet en erklæring, der bekræfter, at Windows Defender er mere end i stand til at håndtere problemet, nævnte de ikke, at brugerne har brug for at være på den nyeste version af Windows for at drage fordel af det samme. For ældre versioner af Windows bemærkede Microsoft, at det vil bruge HVCI-funktionen (Hypervisor-enforced Code Integrity) til at blackliste drivere, der er rapporteret til dem. Desværre er denne funktion kun tilgængelig på 7. generation og senere Intel-processorer; så ældre CPU'er, eller nyere, hvor HCVI er deaktiveret, kræver, at driverne afinstalleres manuelt.

Hvis dette ikke var nok dårlige nyheder, har hackere nu formået at bruge fejlen til at udnytte brugerne. Remote Access Trojan eller RAT har eksisteret i årevis, men den seneste udvikling har gjort det farligere end nogensinde. NanoCore RAT plejede at sælge på Dark Web for $25, men blev knækket tilbage i 2014, og den gratis version blev gjort tilgængelig for hackerne. Efter dette blev værktøjet sofistikeret, da nye plugins blev tilføjet til det. Nu har forskere fra LMNTRX Labs opdaget en ny tilføjelse, der giver hackere mulighed for at drage fordel af fejlen, og værktøjet er nu tilgængeligt gratis på Dark Web.

I tilfælde af at du undervurderer værktøjet, kan det tillade en hacker at fjerne nedlukning eller genstarte systemet, fjerngennemse filer, få adgang til og kontrollere Task Manager, Registry Editor og endda musen. Ikke kun det, men angriberen kan også åbne websider, deaktivere webcam-aktivitetslyset for at spionere på offeret ubemærket og optage lyd og video. Da angriberen har fuld adgang til computeren, kan de også gendanne adgangskoder og få loginoplysninger ved hjælp af en keylogger samt låse computeren med tilpasset kryptering, der kan fungere som ransomware.

Den gode nyhed er, at NanoCore RAT har eksisteret i årevis, softwaren er velkendt af sikkerhedsforskerne. LMNTRX team (via Forbes) opdelte detektionsteknikker i tre hovedkategorier:

• T1064 – Scripting: Da scripting almindeligvis bruges af systemadministratorer til at udføre rutineopgaver, kan enhver unormal udførelse af legitime scriptingprogrammer, såsom PowerShell eller Wscript, signalere mistænkelig adfærd. Kontrol af office-filer for makrokode kan også hjælpe med at identificere scripting, der bruges af angribere. Office-processer, som f.eks. winword.exe-forekomster af cmd.exe, eller scriptprogrammer som wscript.exe og powershell.exe, kan indikere ondsindet aktivitet.

• T1060 – Registry Run Keys / Startup Mappe: Overvågning af registreringsdatabasen for ændringer til at køre nøgler, der ikke korrelerer med kendt software eller patch-cyklusser, og overvågning af startmappen for tilføjelser eller ændringer, kan hjælpe med at opdage malware. Mistænkelige programmer, der udføres ved opstart, kan dukke op som afvigende processer, der ikke er set før, når de sammenlignes med historiske data. Løsninger som LMNTRIX Respond, der overvåger disse vigtige steder og giver advarsler om enhver mistænkelig ændring eller tilføjelse, kan hjælpe med at opdage disse adfærd.

• T1193 – Spearphishing vedhæftet fil: Network Intrusion Detection-systemer, såsom LMNTRIX Detect, kan bruges til at detektere spearphishing med ondsindede vedhæftede filer i transit. I LMNTRIX Detects tilfælde kan indbyggede detonationskamre detektere ondsindede vedhæftede filer baseret på adfærd snarere end signaturer. Dette er kritisk, da signaturbaseret detektion ofte ikke beskytter mod angribere, der ofte ændrer og opdaterer deres nyttelast.

Generelt gælder disse detektionsteknikker for organisationer og for personlige/hjemmebrugere, den bedste ting at gøre lige nu er at opdatere hvert stykke software for at sikre, at det kører på den nyeste version. Dette inkluderer Windows-drivere, tredjepartssoftware og endda Windows-opdateringer. Vigtigst af alt, lad være med at downloade eller åbne nogen mistænkelig e-mail eller installere tredjepartssoftware fra en ukendt leverandør.