כל משתמשי Windows צריכים לעדכן מיד עם אישור פריצת 'שליטה מלאה'

לפני כמה שבועות, חוקרים מחברת אבטחת הסייבר אקליפסיום גילה שכמעט לכל יצרני החומרה הגדולים יש פגם שיכול לאפשר לאפליקציות זדוניות לקבל הרשאות ליבה ברמת המשתמש, ובכך לקבל גישה ישירה לקושחה ולחומרה.

החוקרים פרסמו רשימה של ספקי BIOS ויצרני חומרה שכללו את Toshiba, ASUS, Huawei, Intel, Nvidia ועוד. הפגם משפיע גם על כל הגרסאות החדשות של Windows הכוללות את Windows 7, 8, 8.1 ו-Windows 10. בעוד שמיקרוסופט כבר פרסמה הצהרה המאשרת ש-Windows Defender יותר ממסוגלת לטפל בבעיה, הם לא ציינו שמשתמשים צריכים להיות בגרסה העדכנית ביותר של Windows כדי להפיק תועלת מכך. עבור גרסאות ישנות יותר של Windows, מיקרוסופט ציינה שהיא תשתמש ביכולת HVCI (Hypervisor-enforced Code Integrity) כדי לרשום את מנהלי ההתקן המדווחים להם. למרבה הצער, תכונה זו זמינה רק במעבדי אינטל מהדור השביעי ואילך; כך שמעבדים ישנים יותר, או חדשים יותר שבהם HCVI מושבת, דורשים הסרה ידנית של מנהלי ההתקן.

אם אלו לא היו חדשות רעות מספיק, האקרים הצליחו כעת להשתמש בפגם כדי לנצל את המשתמשים. גישה מרחוק Trojan או RAT קיימים כבר שנים, אך ההתפתחויות האחרונות הפכו אותו למסוכן מתמיד. ה-NanoCore RAT נמכר בעבר ב-Dark Web ב-$25 אך נפצח ב-2014 והגרסה החינמית הועמדה לרשות ההאקרים. לאחר מכן, הכלי השתכלל כאשר נוספו לו תוספים חדשים. כעת, חוקרים ממעבדות LMNTRX גילו תוספת חדשה המאפשרת להאקרים לנצל את הפגם והכלי זמין כעת בחינם ברשת האפלה.

במקרה שזלזלת בכלי, הוא יכול לאפשר להאקר כיבוי מרחוק או לאתחל את המערכת, לגלוש מרחוק בקבצים, לגשת ולשלוט במנהל המשימות, בעורך הרישום ואפילו בעכבר. לא רק זה, אלא שהתוקף יכול גם לפתוח דפי אינטרנט, להשבית את נורית הפעילות של מצלמת האינטרנט כדי לרגל אחרי הקורבן בלי לשים לב וללכוד אודיו ווידאו. מכיוון שלתוקף יש גישה מלאה למחשב, הם יכולים גם לשחזר סיסמאות ולקבל אישורי כניסה באמצעות keylogger וכן לנעול את המחשב בהצפנה מותאמת אישית שיכולה לפעול כמו תוכנת כופר.

החדשות הטובות הן ש-NanoCore RAT קיימת כבר שנים, התוכנה מוכרת היטב לחוקרי האבטחה. צוות LMNTRX (באמצעות פורבס) פירק את טכניקות הזיהוי לשלוש קטגוריות עיקריות:

• T1064 - סקריפטים: מכיוון שמנהלי מערכות משתמשים בדרך כלל ב-scripting לביצוע משימות שגרתיות, כל ביצוע חריג של תוכניות סקריפטים לגיטימיות, כגון PowerShell או Wscript, יכול לאותת על התנהגות חשודה. בדיקת קוד מאקרו בקובצי Office יכולה גם לסייע בזיהוי סקריפטים המשמשים תוקפים. תהליכים במשרד, כגון מופעי השראת winword.exe של cmd.exe, או יישומי סקריפט כמו wscript.exe ו-powershell.exe, עשויים להצביע על פעילות זדונית.

• T1060 - מפתחות הפעלת הרישום / תיקיית אתחול: ניטור הרישום לשינויים להפעלת מפתחות שאינם מתואמים עם תוכנות ידועות או מחזורי תיקון, וניטור תיקיית ההתחלה עבור תוספות או שינויים, יכול לעזור באיתור תוכנות זדוניות. תוכניות חשודות המופעלות בעת ההפעלה עשויות להופיע כתהליכים חריגים שלא נראו בעבר בהשוואה לנתונים היסטוריים. פתרונות כמו LMNTRIX Respond, שמנטרת את המיקומים החשובים הללו ומעלה התראות על כל שינוי או תוספת חשודים, יכולים לסייע בזיהוי התנהגויות אלו.

• T1193 - מצורף Spearphishing: ניתן להשתמש במערכות זיהוי חדירות לרשת, כגון LMNTRIX Detect, כדי לזהות דיוג עם קבצים מצורפים זדוניים במעבר. במקרה של LMNTRIX Detect, תאי פיצוץ מובנים יכולים לזהות קבצים מצורפים זדוניים המבוססים על התנהגות, ולא על חתימות. זה קריטי מכיוון שלעתים קרובות זיהוי מבוסס חתימות לא מצליח להגן מפני תוקפים שמשנים ומעדכנים לעתים קרובות את המטענים שלהם.

בסך הכל, טכניקות זיהוי אלו חלות על ארגונים ועבור משתמשים אישיים/ביתיים, הדבר הטוב ביותר לעשות כעת הוא לעדכן כל פיסת תוכנה כדי לוודא שהיא פועלת בגרסה העדכנית ביותר. זה כולל מנהלי התקנים של Windows, תוכנות צד שלישי ואפילו עדכוני Windows. והכי חשוב, אל תוריד או תפתח אימייל חשוד או תתקין תוכנת צד שלישי מספק לא ידוע.