Minden Windows-felhasználónak azonnal frissítenie kell, amint a „Teljes vezérlés” feltörése megerősítést nyer

Néhány héttel ezelőtt az Eclypsium kiberbiztonsági cég kutatói kiderült hogy szinte az összes jelentős hardvergyártó rendelkezik olyan hibával, amely lehetővé teszi a rosszindulatú alkalmazások számára, hogy felhasználói szinten kerneljogokat szerezzenek, ezáltal közvetlen hozzáférést kapjanak a firmware-hez és a hardverhez.

A kutatók kiadták a BIOS-szállítók és hardvergyártók listáját, amely többek között a Toshiba, az ASUS, a Huawei, az Intel, az Nvidia és más cégek listáját tartalmazza. A hiba a Windows összes új verzióját is érinti, beleértve a Windows 7, 8, 8.1 és Windows 10 rendszereket is. Bár a Microsoft már kiadott egy nyilatkozatot, amely megerősítette, hogy a Windows Defender több mint képes kezelni a problémát, nem említették, hogy a felhasználóknak szükségük lenne rá. hogy a Windows legújabb verzióját használja, hogy kihasználhassa ugyanazt. A Windows régebbi verzióinál a Microsoft megjegyezte, hogy a HVCI (Hypervisor-enforced Code Integrity) képességet fogja használni a nekik jelentett illesztőprogramok feketelistára tételére. Sajnos ez a funkció csak a 7. generációs és későbbi Intel processzorokon érhető el; így a régebbi CPU-k vagy az újabbak, ahol a HCVI le van tiltva, megkövetelik az illesztőprogramok manuális eltávolítását.

Ha ez nem lenne elég rossz hír, a hackereknek most sikerült kihasználniuk a hibát a felhasználók kihasználására. A Remote Access Trojan vagy RAT évek óta létezik, de a legutóbbi fejlemények minden eddiginél veszélyesebbé tették. A NanoCore RAT-ot korábban 25 dollárért árulták a Dark Weben, de 2014-ben feltörték, és az ingyenes verziót elérhetővé tették a hackerek számára. Ezt követően az eszköz kifinomultabbá vált, mivel új bővítmények kerültek hozzá. Az LMNTRX Labs kutatói most egy új kiegészítést fedeztek fel, amely lehetővé teszi a hackerek számára, hogy kihasználják a hibát, és az eszköz már ingyenesen elérhető a Dark Web-en.

Ha alábecsülte az eszközt, lehetővé teheti a hacker számára, hogy távolról leállítsa vagy újraindítsa a rendszert, távolról böngésszen a fájlokban, hozzáférjen és vezérelje a Feladatkezelőt, a Rendszerleíróadatbázis-szerkesztőt és még az egeret is. Nem csak ez, hanem a támadó is megnyithat weboldalakat, letilthatja a webkamera tevékenységjelző lámpáját, hogy észrevétlenül kémkedjen az áldozat után, és hang- és videófelvételeket készítsen. Mivel a támadó teljes hozzáféréssel rendelkezik a számítógéphez, jelszót is visszaszerezhet és bejelentkezési hitelesítő adatokat szerezhet be egy keylogger segítségével, valamint egyéni titkosítással zárolhatja a számítógépet, amely zsarolóvírusként működhet.

Jó hír, hogy a NanoCore RAT már évek óta létezik, a szoftvert jól ismerik a biztonsági kutatók. LMNTRX csapat (keresztül Forbes) három fő kategóriába sorolta az észlelési technikákat:

• T1064 – Scripting: Mivel a parancsfájlokat a rendszergazdák általában rutinfeladatok végrehajtására használják, a törvényes parancsfájl-programok, például a PowerShell vagy a Wscript rendellenes végrehajtása gyanús viselkedést jelezhet. Az Office fájlok makrókód-ellenőrzése a támadók által használt szkriptek azonosításában is segíthet. Az irodai folyamatok, például a winword.exe, amely a cmd.exe példányai, vagy a parancsfájl-alkalmazások, például a wscript.exe és a powershell.exe, rosszindulatú tevékenységre utalhatnak.

• T1060 – Rendszerleíró adatbázis futtatási kulcsai / Indítómappa: A rendszerleíró adatbázis azon módosításainak figyelése, amelyek olyan kulcsok futtatásához szükségesek, amelyek nem korrelálnak az ismert szoftverekkel vagy javítási ciklusokkal, és figyeli a kezdőmappát a kiegészítések vagy módosítások szempontjából, segíthet a rosszindulatú programok észlelésében. Az indításkor lefutó gyanús programok olyan kiugró folyamatokként jelenhetnek meg, amelyeket korábban nem láttak a korábbi adatokkal összehasonlítva. Az olyan megoldások, mint az LMNTRIX Respond, amely figyeli ezeket a fontos helyeket, és figyelmeztetést ad minden gyanús változás vagy kiegészítés esetén, segíthet észlelni ezeket a viselkedéseket.

• T1193 – Adathalász melléklet: A hálózati behatolásészlelő rendszerek, mint például az LMNTRIX Detect, használhatók a rosszindulatú mellékletekkel történő adathalászat észlelésére. Az LMNTRIX Detect esetében a beépített robbantókamrák viselkedésük, nem pedig aláírások alapján képesek észlelni a rosszindulatú csatolmányokat. Ez kritikus fontosságú, mivel az aláírás-alapú észlelés gyakran nem véd a támadók ellen, akik gyakran változtatják és frissítik a hasznos terhelést.

Összességében ezek az észlelési technikák a szervezetekre és a személyes/otthoni felhasználókra vonatkoznak. A legjobb, ha jelenleg minden szoftvert frissít, hogy megbizonyosodjon arról, hogy a legújabb verzión fut. Ez magában foglalja a Windows illesztőprogramokat, a harmadik féltől származó szoftvereket és még a Windows frissítéseket is. A legfontosabb, hogy ne töltsön le vagy nyisson meg gyanús e-maileket, és ne telepítsen harmadik féltől származó szoftvert ismeretlen gyártótól.