Tutti gli utenti Windows dovrebbero aggiornare immediatamente poiché l'hacking "Controllo completo" è confermato

Un paio di settimane fa, i ricercatori della società di sicurezza informatica Eclypsium rivelato che quasi tutti i principali produttori di hardware hanno un difetto che può consentire alle applicazioni dannose di ottenere i privilegi del kernel a livello di utente, ottenendo così l'accesso diretto al firmware e all'hardware.

I ricercatori hanno pubblicato un elenco di fornitori di BIOS e produttori di hardware che includevano Toshiba, ASUS, Huawei, Intel, Nvidia e altri. Il difetto riguarda anche tutte le nuove versioni di Windows che includono Windows 7, 8, 8.1 e Windows 10. Mentre Microsoft ha già rilasciato una dichiarazione in cui conferma che Windows Defender è più che in grado di gestire il problema, non ha menzionato che gli utenti hanno bisogno essere sull'ultima versione di Windows per trarne vantaggio. Per le versioni precedenti di Windows, Microsoft ha notato che utilizzerà la funzionalità HVCI (Hypervisor-enforced Code Integrity) per inserire nella blacklist i driver segnalati. Sfortunatamente, questa funzione è disponibile solo sui processori Intel di 7a generazione e successivi; quindi le CPU meno recenti, o quelle più recenti in cui HCVI è disabilitato, richiedono la disinstallazione manuale dei driver.

Se non bastassero queste cattive notizie, gli hacker sono ora riusciti a sfruttare la falla per sfruttare gli utenti. Il Trojan di accesso remoto o RAT è in circolazione da anni, ma i recenti sviluppi lo hanno reso più pericoloso che mai. Il NanoCore RAT veniva venduto sul Dark Web per $ 25, ma è stato violato nel 2014 e la versione gratuita è stata resa disponibile agli hacker. Successivamente, lo strumento è diventato sofisticato quando sono stati aggiunti nuovi plug-in. Ora, i ricercatori di LMNTRX Labs hanno scoperto una nuova aggiunta che consente agli hacker di sfruttare il difetto e lo strumento è ora disponibile gratuitamente sul Dark Web.

Nel caso in cui tu stia sottovalutando lo strumento, può consentire a un hacker di spegnere o riavviare il sistema in remoto, sfogliare i file in remoto, accedere e controllare il Task Manager, l'Editor del Registro di sistema e persino il mouse. Non solo, l'attaccante può anche aprire pagine web, disabilitare la spia di attività della webcam per spiare la vittima inosservata e acquisire audio e video. Poiché l'attaccante ha pieno accesso al computer, può anche recuperare le password e ottenere le credenziali di accesso utilizzando un keylogger, nonché bloccare il computer con una crittografia personalizzata che può agire come un ransomware.

La buona notizia è che NanoCore RAT è in circolazione da anni, il software è ben noto ai ricercatori di sicurezza. Squadra LMNTRX (via Forbes) ha suddiviso le tecniche di rilevamento in tre categorie principali:

• T1064 – Script: Poiché lo scripting è comunemente utilizzato dagli amministratori di sistema per eseguire attività di routine, qualsiasi esecuzione anomala di programmi di scripting legittimi, come PowerShell o Wscript, può segnalare comportamenti sospetti. Il controllo dei file di Office per il codice macro può anche aiutare a identificare gli script utilizzati dagli aggressori. I processi di Office, come winword.exe che generano istanze di cmd.exe, o applicazioni di script come wscript.exe e powershell.exe, possono indicare attività dannose.

• T1060 – Chiavi di esecuzione del registro / Cartella di avvio: Il monitoraggio del Registro di sistema per le modifiche all'esecuzione di chiavi non correlate a software o cicli di patch noti e il monitoraggio della cartella di avvio per aggiunte o modifiche possono aiutare a rilevare il malware. I programmi sospetti in esecuzione all'avvio possono apparire come processi anomali che non sono stati visti prima rispetto ai dati storici. Soluzioni come LMNTRIX Respond, che monitora queste posizioni importanti e genera avvisi per eventuali modifiche o aggiunte sospette, possono aiutare a rilevare questi comportamenti.

• T1193 – Attacco per spearphishing: I sistemi di rilevamento delle intrusioni di rete, come LMNTRIX Detect, possono essere utilizzati per rilevare lo spearphishing con allegati dannosi in transito. Nel caso di LMNTRIX Detect, le camere di detonazione integrate possono rilevare allegati dannosi in base al comportamento, piuttosto che alle firme. Questo è fondamentale in quanto il rilevamento basato sulle firme spesso non riesce a proteggere dagli aggressori che cambiano e aggiornano frequentemente i loro payload.

Nel complesso, queste tecniche di rilevamento si applicano alle organizzazioni e agli utenti personali/domestici, la cosa migliore da fare in questo momento è aggiornare ogni software per assicurarsi che sia in esecuzione con l'ultima versione. Ciò include driver di Windows, software di terze parti e persino aggiornamenti di Windows. Soprattutto, non scaricare o aprire e-mail sospette o installare software di terze parti da un fornitore sconosciuto.