Alle Windows-gebruikers moeten onmiddellijk updaten zodra de 'Complete Control'-hack is bevestigd

Een paar weken geleden hebben onderzoekers van cyberbeveiligingsbedrijf Eclypsium onthuld dat bijna alle grote hardwarefabrikanten een fout hebben waardoor kwaadaardige applicaties kernelprivileges kunnen krijgen op gebruikersniveau, waardoor ze directe toegang krijgen tot firmware en hardware.

De onderzoekers hebben een lijst met BIOS-leveranciers en hardwarefabrikanten vrijgegeven, waaronder Toshiba, ASUS, Huawei, Intel, Nvidia en meer. De fout treft ook alle nieuwe versies van Windows, waaronder Windows 7, 8, 8.1 en Windows 10. Hoewel Microsoft al een verklaring heeft uitgebracht waarin wordt bevestigd dat Windows Defender meer dan in staat is om het probleem aan te pakken, vermeldden ze niet dat gebruikers om de nieuwste versie van Windows te hebben om van hetzelfde te profiteren. Voor oudere versies van Windows merkte Microsoft op dat het HVCI-functionaliteit (Hypervisor-enforced Code Integrity) zal gebruiken om stuurprogramma's die aan hen worden gerapporteerd, op de zwarte lijst te zetten. Helaas is deze functie alleen beschikbaar op Intel-processors van de 7e generatie en later; dus oudere CPU's, of nieuwere waarbij HCVI is uitgeschakeld, vereisen dat de stuurprogramma's handmatig worden verwijderd.

Alsof dit nog niet genoeg slecht nieuws was, zijn hackers er nu in geslaagd om de fout te gebruiken om de gebruikers uit te buiten. Remote Access Trojan of RAT bestaat al jaren, maar recente ontwikkelingen hebben het gevaarlijker dan ooit gemaakt. De NanoCore RAT werd vroeger op Dark Web verkocht voor $ 25, maar werd in 2014 gekraakt en de gratis versie werd beschikbaar gesteld aan de hackers. Hierna werd de tool verfijnd omdat er nieuwe plug-ins aan werden toegevoegd. Nu hebben onderzoekers van LMNTRX Labs een nieuwe toevoeging ontdekt waarmee hackers kunnen profiteren van de fout en de tool is nu gratis beschikbaar op het Dark Web.

Als u de tool onderschat, kan een hacker het systeem op afstand afsluiten of opnieuw opstarten, op afstand door bestanden bladeren, Taakbeheer, Register-editor en zelfs de muis openen en besturen. Niet alleen dat, de aanvaller kan ook webpagina's openen, het activiteitslampje van de webcam uitschakelen om het slachtoffer ongemerkt te bespioneren en audio en video vast te leggen. Aangezien de aanvaller volledige toegang tot de computer heeft, kunnen ze ook wachtwoorden herstellen en inloggegevens verkrijgen met behulp van een keylogger, en de computer vergrendelen met aangepaste codering die als ransomware kan werken.

Het goede nieuws is dat NanoCore RAT al jaren bestaat, de software is goed bekend bij de beveiligingsonderzoekers. LMNTRX-team (via Forbes) detectietechnieken onderverdeeld in drie hoofdcategorieën:

• T1064 - Scripting: Aangezien scripting vaak wordt gebruikt door systeembeheerders om routinetaken uit te voeren, kan elke afwijkende uitvoering van legitieme scriptprogramma's, zoals PowerShell of Wscript, verdacht gedrag signaleren. Het controleren van Office-bestanden op macrocode kan ook helpen bij het identificeren van scripts die door aanvallers worden gebruikt. Office-processen, zoals winword.exe die instanties van cmd.exe voortbrengen, of scripttoepassingen zoals wscript.exe en powershell.exe, kunnen wijzen op schadelijke activiteit.

• T1060 – Register-runsleutels / opstartmap: Het controleren van het register op wijzigingen om sleutels uit te voeren die niet correleren met bekende software of patchcycli, en het controleren van de startmap op toevoegingen of wijzigingen, kan helpen bij het detecteren van malware. Verdachte programma's die bij het opstarten worden uitgevoerd, kunnen worden weergegeven als uitbijterprocessen die nog niet eerder zijn gezien in vergelijking met historische gegevens. Oplossingen zoals LMNTRIX Respond, dat deze belangrijke locaties bewaakt en waarschuwt voor elke verdachte verandering of toevoeging, kunnen helpen bij het detecteren van dit gedrag.

• T1193 – Spearphishing-bijlage: Network Intrusion Detection-systemen, zoals LMNTRIX Detect, kunnen worden gebruikt om spearphishing met kwaadaardige bijlagen tijdens het transport te detecteren. In het geval van LMNTRIX Detect kunnen ingebouwde detonatiekamers kwaadaardige bijlagen detecteren op basis van gedrag in plaats van handtekeningen. Dit is van cruciaal belang omdat op handtekeningen gebaseerde detectie vaak geen bescherming biedt tegen aanvallers die hun payloads vaak wijzigen en bijwerken.

Over het algemeen zijn deze detectietechnieken van toepassing op organisaties en voor persoonlijke/thuisgebruikers. Het beste wat u nu kunt doen, is elk stukje software bijwerken om er zeker van te zijn dat het op de nieuwste versie draait. Dit omvat Windows-stuurprogramma's, software van derden en zelfs Windows-updates. Het belangrijkste is dat u geen verdachte e-mail downloadt of opent en geen software van derden van een onbekende leverancier installeert.