Перейти к содержанию

Наши технологии выявили уязвимость нулевого дня в ОС Windows

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Как правило, защитные решения нужно учить распознавать новые уязвимости, но технологии «Лаборатории Касперского» иногда сами выявляют уязвимости нулевого дня. Вот, например, как сейчас. Подсистема автоматической защиты от эксплойтов в наших продуктах недавно засекла кибератаку нового типа, в ходе которой злоумышленники использовали совершенно новый эксплойт к ранее неизвестной уязвимости операционной системы.

Наши эксперты проанализировали атаку и выяснили, что уязвимость была в одном из драйверов Win32 — в файле win32k.sys. Они немедленно сообщили о проблеме Microsoft, чтобы корпорация как можно скорее начала работу над исправлениями. Девятого октября Microsoft обнародовала уязвимость и выпустила внеочередное обновление с патчем для CVE-2018-8453.

Насколько это опасно?

Используя эту уязвимость, вредоносная программа могла получить достаточно высокие привилегии. Так что потенциальный риск был очень велик: киберпреступники могли получить полный контроль над компьютером жертвы. Наши эксперты говорят, что эксплойт был рассчитан на множество сборок Windows, включая MS Windows 10 RS4.

Наши решения засекли несколько атак, нацеленных на эту уязвимость. Большинство жертв находилось на Ближнем Востоке. Эксперты «Лаборатории Касперского» уверены, что атака была целевой — и очень узконаправленной. Однако после того как сведения об уязвимости раскрыли, число подобных нападений может возрасти.

Больше технических подробностей об этой кибератаке — в посте на Securelist.

Как защититься?

  • Как можно скорее установите исправление, выпущенное Microsoft. Его можно скачать отсюда.
  • Своевременно обновляйте до новейшей версии все бизнес-приложения.
  • Выбирайте защитные продукты с функциями поиска уязвимостей и управления исправлениями — это позволит автоматизировать процесс обновления.
  • Для надежной защиты от неизвестных угроз, в том числе от эксплойтов нулевого дня, установите мощное защитное решение, обнаруживающее вредоносные программы на основе их поведения.

Эксплойт к этой уязвимости нулевого дня успешно ловят сразу несколько наших технологий. Во-первых, Advanced Sandboxing, встроенная в платформу Kaspersky Anti Targeted Attack (специализированное решение для защиты от целевых атак). А во-вторых, автоматическая защита от эксплойтов, которая является частью нашего решения Kaspersky Endpoint Security для бизнеса.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Уязвимость Windows Downdate: техника эксплуатации и контрмеры
      От KL FC Bot
      Все приложения, включая ОС, содержат уязвимости, поэтому регулярные обновления для их устранения — один из ключевых принципов кибербезопасности. Именно на механизм обновлений нацелились авторы атаки Windows Downdate, поставив себе задачу незаметно «откатить» актуальную версию Windows до старой, содержащей уязвимые версии служб и файлов. После выполнения этой атаки полностью обновленная система оказывается вновь уязвимой к старым и хорошо изученным эксплойтам и ее можно легко скомпрометировать до самого глубокого уровня, реализовав даже компрометацию гипервизора и безопасного ядра и кражу учетных данных. При этом обычные инструменты проверки обновлений и «здоровья» системы будут рапортовать, что все полностью актуально и обновлять нечего.
      Механика атаки
      Исследователи фактически нашли два разных дефекта с немного различным механизмом работы. Одна уязвимость, получившая идентификатор CVE-2024-21302 и чаще называемая Downdate, основана на недочете в процессе установки обновлений. Хотя компоненты, получаемые во время обновления, контролируются, защищены от модификаций, подписаны цифровой подписью, на одном из промежуточных этапов установки (между перезагрузками) процедура обновления создает, а затем применяет файл со списком планируемых действий (pending.xml). Если создать этот файл самостоятельно и занести информацию о нем в реестр, то доверенный установщик (Windows Modules Installer service, TrustedInstaller) выполнит инструкции из него при перезагрузке.
      Вообще-то, содержимое pending.xml верифицируется, но на предыдущих этапах установки, TrustedInstaller не делает проверку заново. Прописать в него что попало и установить таким образом произвольные файлы не получится, они должны быть подписаны Microsoft, но вот заменить системные файлы более старыми файлами самой Microsoft вполне можно. Таким образом, система может быть вновь подвержена давно исправленным уязвимостям, включая критические. Чтобы добавить в реестр необходимые ключи, касающиеся pending.xml, требуются права администратора, а затем еще потребуется инициировать перезагрузку системы. Но это единственное весомое ограничение для проведения атаки. Повышенные права (при которых Windows запрашивает у администратора дополнительное разрешение на затемненном экране) для атаки не требуются, для большинства средств защиты выполняемые атакой действия также не входят в разряд подозрительных.
      Второй дефект, CVE-2024-38202, основан на подмене содержимого папки Windows.old, в которой система обновления хранит старую версию Windows. Хотя файлы в этой папке невозможно модифицировать без специальных привилегий, обычный пользователь может переименовать папку целиком, создать Windows.old заново и положить в нее нужные ему файлы, например устаревшие опасные версии системных файлов Windows. Затем нужно инициировать восстановление системы — и откат Windows к уязвимой версии состоится. Для восстановления системы нужны определенные права, но это не права администратора, ими иногда обладают и обычные пользователи.
       
      View the full article
    • KL FC Bot
      Уязвимость нулевого дня в CLFS | Блог Касперского
      От KL FC Bot
      Благодаря срабатыванию поведенческого движка (Behavioral Detection Engine) и компонента для предотвращения эксплуатации уязвимостей (Exploit Prevention) наши решения обнаружили попытку эксплуатации ранее неизвестной уязвимости в Common Log File System (CLFS), подсистеме операционных систем Windows, служащей для логирования. Тщательно исследовав эксплойт, эксперты нашего Глобального центра исследований и анализа угроз (GREAT) связались с Microsoft и предоставили всю необходимую информацию. Разработчики присвоили уязвимости номер CVE-2023-28252 и 11.04.2023 года закрыли уязвимость с выпуском апрельского вторничного обновления. Мы рекомендуем как можно скорее установить свежие патчи, поскольку уязвимость не просто активно эксплуатируется злоумышленниками — она применяется в атаках с использованием шифровальщиков-вымогателей.
      Что за уязвимость CVE-2023-28252
      CVE-2023-28252 относится к классу уязвимостей эскалации привилегий. Для ее эксплуатации злоумышленникам необходима возможность манипуляций с файлом типа .blf (иными словами, требуется иметь доступ к системе с правами пользователя). В результате они смогут повысить свои привилегии для продолжения атаки.
      Как обычно, технические подробности, наряду с индикаторами компрометации, можно найти в посте на сайте Securelist. В данный момент раскрывать детали эксплуатации уязвимости CVE-2023-28252 не представляется возможным, поскольку они могут быть использованы другими злоумышленниками для организации новых атак. Однако наши эксперты обещают поделиться ими 20 апреля (или около того), после того как большинство пользователей успешно установит патчи.
       
      View the full article
×
×
  • Создать...