Tehnologiile automate ale Kaspersky Lab au detectat o vulnerabilitate necunoscuta
anterior in sistemul de operare Microsoft Windows. A fost folosita de un grup
infractional neidentificat, in incercarea de a obtine controlul complet asupra unui
dispozitiv vizat. Atacul a vizat centrul sistemului – kernel-ul – printr-un backdoor
construit dintr-un element esential al sistemului de operare Windows.
Backdoor-urile sunt un tip extrem de periculos de malware, deoarece le permit atacatorilor sa
controleze discret dispozitivele infectate, in interesul lor. O asemenea escaladare a
privilegiilor de la o terta parte este, de obicei, greu de ascuns de solutiile de securitate. Cu
toate acestea, un backdoor care profita de un bug necunoscut anterior din sistem – o
vulnerabilitate de tip zero-day – are sanse mult mai mari sa treaca neobservat. Solutiile
obisnuite de securitate nu pot recunoaste infectarea sistemului si nici nu pot proteja
utilizatorii de amenintarile recunoscute pana in prezent.
Tehnologia Exploit Prevention de la Kaspersky Lab a reusit, totusi, sa detecteze incercarea
de a exploata vulnerabilitatea necunoscuta din Microsoft Windows. Scenariul de atac
descoperit a fost urmatorul: odata ce fisierul .exe malware era lansat, incepea instalarea
programului malware. Infectia a folosit o vulnerabilitate zero-day si a obtinut privilegii pentru
persistenta cu succes pe dispozitivul victimei. Malware-ul initia apoi lansarea unui backdoor
dezvoltat cu un element legitim al Windows, prezent pe toate dispozitivele care ruleaza acest
sistem de operare – o structura de scripting denumita Windows PowerShell. Acest lucru le-a
permis atacatorilor sa treaca neobservati si sa evite detectia, economisindu-le timpul necesar
scrierii codului pentru instrumentele periculoase. Malware-ul a descarcat apoi un alt
backdoor de la un serviciu popular de stocare de text, legitim, care, la randul sau, le-a dat
infractorilor control total asupra sistemului infectat.
„In acest atac, am observat doua tendinte principale pe care le vedem adesea in
amenintarile persistente avansate (APT)”, explica Anton Ivanov, security expert la Kaspersky
Lab. „In primul rand, utilizarea exploit-urilor de escaladare a privilegiilor locale pentru a
ramane pe dispozitivul victimei. In al doilea rand, utilizarea unor structuri legitime precum
Windows PowerShell pentru activitati rau intentionate asupra dispozitivului victimei. Aceasta
combinatie le da atacatorilor capacitatea de a ocoli solutiile standard de securitate. Pentru a
detecta astfel de tehnici, solutia de securitate trebuie sa utilizeze tehnologii de prevenire a
exploit-urilor si motoare bazate pe detectie comportamentala.”

Produsele Kaspersky Lab au detectat exploit-ul ca:

• HEUR: Exploit.Win32.Generic
• HEUR: Trojan.Win32.Generic
• PDM: Exploit.Win32.Generic
Vulnerabilitatea a fost raportata companiei Microsoft si a primit un patch pe 10 aprilie.
Pentru a preveni instalarea de backdoor-uri prin vulnerabilitati Windows de tip zero-day,
Kaspersky Lab recomanda urmatoarele masuri de securitate:
• Odata ce vulnerabilitatea este remediata si patch-ul este descarcat, atacatorii nu o mai pot
folosi. Instalati patch-ul Microsoft pentru noua vulnerabilitate cat mai curand posibil.
• Daca sunteti preocupati de siguranta intregii organizatii, asigurati-va ca toate programele
sunt actualizate de indata ce este lansat un nou patch de securitate. Utilizati produsele de
securitate cu capacitati de evaluare a vulnerabilitatilor si de gestionare a patch-urilor, pentru
a va asigura ca aceste procese se executa automat.
• Utilizati o solutie de securitate cu eficienta dovedita, ce are capacitate de detectie bazata
pe comportament, pentru a proteja chiar si impotriva amenintarilor necunoscute.
• Asigurati-va ca echipa de securitate are acces la cele mai recente informatii despre
amenintarile cibernetice. Rapoarte private despre cele mai recente evolutii in peisajul
amenintarilor sunt disponibile pentru clientii serviciului Kaspersky Intelligence Reporting.
• Nu in ultimul rand, asigurati-va ca personalul este instruit in ceea ce priveste elementele de
baza ale securitatii informatice.
Pentru detalii despre noul exploit, se poate vedea raportul complet de pe Securelist.
Pentru a examina mai indeaproape tehnologiile care au detectat acest lucru si alte
vulnerabilitati zero-day in Microsoft Windows, este disponibil un webinar Kaspersky Lab,
pentru vizualizare la cerere.