Лабораторія Касперського виявила раніше невідому вразливість в операційній системі Microsoft Windows
Лабораторія Касперського виявила раніше невідому вразливість в операційній системі Microsoft Windows
«Лабораторія Касперського» виявила раніше невідому вразливість в операційній системі Microsoft Windows. За допомогою цього програмного бага зловмисники намагаються отримати контроль над зараженими пристроями. Їхня мета – ядро системи, і для її досягнення вони використовують бекдор, написаний на легітимному компоненті Windows PowerShell.
Бекдори – вкрай небезпечний тип шкідливого ПЗ, який дозволяє атакуючим потай здійснювати віддалене керування пристроєм. При цьому якщо бекдор використовує раніше невідому вразливість (так звану вразливість нульового дня), він має значно більше шансів обійти стандартні механізми захисту.
Проте технологія автоматичного захисту від експлойтів у рішеннях «Лабораторії Касперського» розпізнала нову загрозу. Як з'ясували експерти компанії, сценарій атаки зводиться до наступного: спочатку на пристрої запускається файл .exe, а потім він встановлює шкідливе програмне забезпечення, яке в свою чергу підвантажує той самий бекдор, написаний на PowerShell. Оскільки зараження відбувається з використанням уразливості нульового дня, а зловред задіяє легальні інструменти, атакуючі потенційно можуть міцно закріпитися в зараженій системі та непомітно її контролювати.
«У цій історії ми бачимо два основні тренди, характерні для складних атак АРТ-класу – так званих Advanced Persistent Threats. По-перше, це застосування експлойтів для підвищення привілеїв на локальній машині з метою успішного закріплення в системі. А по-друге, це використання легітимних інструментів – у цьому випадку PowerShell – у шкідливих цілях. Такий підхід дає зловмисникам можливість оминати стандартні механізми захисту. Для того, щоб успішно справлятися з подібними погрозами, захисні рішення мають володіти технологіями поведінкового аналізу та автоматичного блокування експлойтів», – зазначив керівник відділу дослідження та детектування складних загроз «Лабораторії Касперського».
Продукти «Лабораторії Касперського» розпізнають експлойт як HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic або PDM:Exploit.Win32.Generic.
Для усунення вразливості 10 квітня 2019 р. компанія Microsoft випустила відповідне оновлення.