Alle Windows-brukere bør oppdatere umiddelbart ettersom 'Complete Control'-hack er bekreftet

For et par uker siden kom forskere fra cybersikkerhetsfirmaet Eclypsium avslørt at nesten alle de store maskinvareprodusentene har en feil som kan tillate ondsinnede applikasjoner å få kjerneprivilegier på brukernivå, og dermed få direkte tilgang til fastvare og maskinvare.

Forskerne ga ut en liste over BIOS-leverandører og maskinvareprodusenter som inkluderte Toshiba, ASUS, Huawei, Intel, Nvidia og flere. Feilen påvirker også alle de nye versjonene av Windows som inkluderer Windows 7, 8, 8.1 og Windows 10. Mens Microsoft allerede har gitt ut en uttalelse som bekrefter at Windows Defender er mer enn i stand til å håndtere problemet, nevnte de ikke at brukerne trenger å være på den nyeste versjonen av Windows for å dra nytte av det samme. For eldre versjoner av Windows bemerket Microsoft at de vil bruke HVCI-funksjonen (Hypervisor-enforced Code Integrity) for å svarteliste drivere som er rapportert til dem. Dessverre er denne funksjonen kun tilgjengelig på 7. generasjon og senere Intel-prosessorer; så eldre CPUer, eller nyere der HCVI er deaktivert, krever at driverne avinstalleres manuelt.

Hvis dette ikke var nok dårlige nyheter, har hackere nå klart å bruke feilen til å utnytte brukerne. Remote Access Trojan eller RAT har eksistert i årevis, men nyere utvikling har gjort det farligere enn noen gang. NanoCore RAT pleide å selge på Dark Web for $25, men ble knekt tilbake i 2014 og gratisversjonen ble gjort tilgjengelig for hackerne. Etter dette ble verktøyet sofistikert ettersom nye plugins ble lagt til det. Nå har forskere fra LMNTRX Labs oppdaget et nytt tillegg som lar hackere dra nytte av feilen, og verktøyet er nå tilgjengelig gratis på Dark Web.

I tilfelle du undervurderte verktøyet, kan det tillate en hacker å fjernavslå eller starte systemet på nytt, eksternt bla gjennom filer, få tilgang til og kontrollere Oppgavebehandling, Registerredigering og til og med musen. Ikke bare det, men angriperen kan også åpne nettsider, deaktivere webkameraets aktivitetslys for å spionere på offeret ubemerket og fange opp lyd og video. Siden angriperen har full tilgang til datamaskinen, kan de også gjenopprette passord og få påloggingsinformasjon ved hjelp av en keylogger samt låse datamaskinen med tilpasset kryptering som kan fungere som løsepengevare.

Den gode nyheten er at NanoCore RAT har eksistert i årevis, programvaren er godt kjent for sikkerhetsforskerne. LMNTRX-teamet (av Forbes) delte opp deteksjonsteknikker i tre hovedkategorier:

• T1064 – Skripting: Siden skripting ofte brukes av systemadministratorer til å utføre rutineoppgaver, kan enhver unormal kjøring av legitime skriptprogrammer, som PowerShell eller Wscript, signalisere mistenkelig oppførsel. Å sjekke kontorfiler for makrokode kan også bidra til å identifisere skripting brukt av angripere. Kontorprosesser, for eksempel winword.exe-oppstartsforekomster av cmd.exe, eller skriptapplikasjoner som wscript.exe og powershell.exe, kan indikere ondsinnet aktivitet.

• T1060 – Registry Run Keys / Oppstartsmappe: Overvåking av registeret for endringer for å kjøre nøkler som ikke korrelerer med kjent programvare eller oppdateringssykluser, og overvåking av startmappen for tillegg eller endringer, kan bidra til å oppdage skadelig programvare. Mistenkelige programmer som kjøres ved oppstart kan dukke opp som ekstreme prosesser som ikke har blitt sett før sammenlignet med historiske data. Løsninger som LMNTRIX Respond, som overvåker disse viktige stedene og varsler for enhver mistenkelig endring eller tillegg, kan bidra til å oppdage denne atferden.

• T1193 – Spearphishing-vedlegg: Network Intrusion Detection-systemer, som LMNTRIX Detect, kan brukes til å oppdage spearphishing med ondsinnede vedlegg under transport. I LMNTRIX Detects tilfelle kan innebygde detonasjonskamre oppdage ondsinnede vedlegg basert på atferd, snarere enn signaturer. Dette er kritisk ettersom signaturbasert deteksjon ofte ikke klarer å beskytte mot angripere som ofte endrer og oppdaterer nyttelastene sine.

Totalt sett gjelder disse deteksjonsteknikkene for organisasjoner og for personlige/hjemmebrukere, det beste du kan gjøre akkurat nå er å oppdatere hvert stykke programvare for å sikre at det kjører på den nyeste versjonen. Dette inkluderer Windows-drivere, tredjepartsprogramvare og til og med Windows-oppdateringer. Viktigst, ikke last ned eller åpne mistenkelig e-post eller installer tredjepartsprogramvare fra en ukjent leverandør.