Všetci používatelia systému Windows by mali okamžite aktualizovať, pretože je potvrdený hack 'Complete Control'

Pred pár týždňami výskumníci z firmy Eclypsium pre kybernetickú bezpečnosť odhalil že takmer všetci hlavní výrobcovia hardvéru majú chybu, ktorá umožňuje škodlivým aplikáciám získať privilégiá jadra na úrovni používateľa, a tým získať priamy prístup k firmvéru a hardvéru.

Výskumníci zverejnili zoznam predajcov systému BIOS a výrobcov hardvéru, ktorý zahŕňal Toshiba, ASUS, Huawei, Intel, Nvidia a ďalšie. Chyba sa týka aj všetkých nových verzií Windowsu, ktoré zahŕňajú Windows 7, 8, 8.1 a Windows 10. Hoci Microsoft už vydal vyhlásenie potvrdzujúce, že Windows Defender je viac než schopný vyriešiť tento problém, nespomenuli, že používatelia potrebujú byť na najnovšej verzii systému Windows a využívať to isté. Pre staršie verzie systému Windows spoločnosť Microsoft poznamenala, že bude používať funkciu HVCI (Hypervisor-enforced Code Integrity) na čierny zoznam ovládačov, ktoré im budú nahlásené. Bohužiaľ, táto funkcia je dostupná iba na procesoroch Intel 7. generácie a novších; takže staršie CPU alebo novšie, kde je HCVI vypnuté, vyžadujú manuálne odinštalovanie ovládačov.

Ak to nebolo dosť zlých správ, hackerom sa teraz podarilo túto chybu využiť na zneužitie používateľov. Remote Access Trojan alebo RAT je tu už roky, ale nedávny vývoj ho urobil nebezpečnejším ako kedykoľvek predtým. NanoCore RAT sa predával na Dark Web za 25 dolárov, ale bol prelomený v roku 2014 a hackerom bola sprístupnená bezplatná verzia. Potom sa nástroj zdokonalil, pretože k nemu boli pridané nové doplnky. Teraz výskumníci z LMNTRX Labs objavili nový prírastok, ktorý umožňuje hackerom využiť túto chybu a nástroj je teraz k dispozícii zadarmo na Dark Web.

V prípade, že ste tento nástroj podcenili, môže hackerovi umožniť vzdialené vypnutie alebo reštart systému, vzdialené prehliadanie súborov, prístup a ovládanie Správcu úloh, Editora databázy Registry a dokonca aj myši. Nielen to, ale útočník môže tiež otvárať webové stránky, deaktivovať svetlo aktivity webovej kamery, aby nepozorovane špehoval obeť a zachytával zvuk a video. Keďže útočník má úplný prístup k počítaču, môže tiež obnoviť heslá a získať prihlasovacie údaje pomocou keyloggera, ako aj uzamknúť počítač pomocou vlastného šifrovania, ktoré môže pôsobiť ako ransomvér.

Dobrou správou je, že NanoCore RAT existuje už roky, softvér je dobre známy bezpečnostným výskumníkom. tím LMNTRX (via Forbes) rozdelil detekčné techniky do troch hlavných kategórií:

• T1064 – Skriptovanie: Keďže skriptovanie bežne používajú správcovia systému na vykonávanie rutinných úloh, akékoľvek anomálne vykonávanie legitímnych skriptovacích programov, ako je PowerShell alebo Wscript, môže signalizovať podozrivé správanie. Kontrola kódu makra v kancelárskych súboroch môže tiež pomôcť identifikovať skripty používané útočníkmi. Procesy balíka Office, ako napríklad winword.exe vytvárajúce inštancie cmd.exe, alebo skriptové aplikácie ako wscript.exe a powershell.exe, môžu naznačovať škodlivú aktivitu.

• T1060 – Spúšťacie kľúče databázy Registry / spúšťací priečinok: Monitorovanie zmien v registri na spustenie kľúčov, ktoré nekorelujú so známym softvérom alebo cyklami opráv, a monitorovanie pridania alebo zmien v štartovacom priečinku môže pomôcť odhaliť malvér. Podozrivé programy spustené pri spustení sa môžu v porovnaní s historickými údajmi prejaviť ako odľahlé procesy, ktoré predtým neboli zaznamenané. Riešenia ako LMNTRIX Respond, ktoré monitorujú tieto dôležité miesta a vyvolávajú upozornenia na akúkoľvek podozrivú zmenu alebo doplnenie, môžu pomôcť odhaliť toto správanie.

• T1193 – Spearphishing Príloha: Systémy detekcie narušenia siete, ako napríklad LMNTRIX Detect, možno použiť na detekciu spearphishingu so škodlivými prílohami počas prenosu. V prípade LMNTRIX Detect môžu vstavané detonačné komory odhaliť škodlivé prílohy na základe správania, a nie podpisov. Je to dôležité, pretože detekcia založená na podpisoch často nedokáže ochrániť pred útočníkmi, ktorí často menia a aktualizujú svoje užitočné zaťaženie.

Celkovo možno povedať, že tieto detekčné techniky platia pre organizácie a pre osobných/domácich používateľov, najlepšia vec, ktorú teraz môžete urobiť, je aktualizovať každý softvér, aby ste sa uistili, že beží na najnovšej verzii. To zahŕňa ovládače Windows, softvér tretích strán a dokonca aj aktualizácie systému Windows. A čo je najdôležitejšie, nesťahujte ani neotvárajte žiadne podozrivé e-maily ani neinštalujte softvér tretích strán od neznámeho dodávateľa.