16. april 2019 - Avtomatizirane tehnologije družbe Kaspersky Lab so zaznale prej neznano ranljivost operacijskega sistema Microsoft Windows. To ranljivost je izkoristila neznana kriminalna skupina s poskusom pridobitve popolnega nadzora nad ciljano napravo. Napad je bil usmerjen na jedro operacijskega sistema preko stranskih vrat. Ta so nastala iz osnovnega elementa operacijskega sistema Windows.

Zlonamerna programska oprema, ki vzpostavi stranska vrata, je zelo nevarna, saj omogoča napadalcem, da neopazno nadzorujejo okužene naprave. Takšno povečanje posebnih pravic tretje osebe je sicer težko skriti pred varnostnimi rešitvami. A omenjena zlonamerna programska oprema ima z izkoriščanjem prej neznane luknje sistema, gre za ranljivost ničtega dneva, znatno več možnosti, da deluje neopaženo. Običajne varnostne rešitve namreč ne morejo prepoznati okužbe sistema in tako ne morejo zaščiti uporabnika pred grožnjo, ki jo je šele potrebno prepoznati.

Tehnologija 'Kaspersky Lab Exploit Prevention', namenjena preprečevanju programske opreme, ki izkorišča luknje v računalniškem sistemu, je bila kljub temu sposobna zaznati poskus izkoriščanja neznane ranljivosti operacijskega sistema Microsoft Windows. Scenarij napada je bil sledeč: po zagonu izvršljive zlonamerne datoteke (.exe), se je namestitev zlonamerne programske opreme začela. Zlonamerna programska oprema je z okužbo izkoristila ranljivost ničtega dneva in uspela pridobiti posebne pravice za uspešen obstanek na napravi žrtve. Nato je sprožila vzpostavitev stranskih vrat prek uporabe zakonitega elementa operacijskega sistema Windows. Gre za ogrodje ukazne lupine, imenovano Windows PowerShell, ki je prisoten na vseh napravah s tem operacijskim sistemom. To je omogočilo napadalcem, da so se izognili zaznavi, s čimer so prihranili čas pri pisanju kode za zlonamerna orodja. Zlonamerna programska oprema je nato prenesla še druga stranska vrata preko priljubljene zakonite storitve za shranjevanje besedil, s čimer so kriminalci pridobili popoln nadzor nad okuženim sistemom.

»V tem napadu smo lahko videli dva glavna trenda, ki sta pogostokrat prisotna pri naprednih trajnih grožnjah. Prvi trend je uporaba lukenj v računalniškem sistemu za pridobitev večjih pooblastil in tako uspešen obstoj na napravi žrtve. Za drug trend je značilna uporaba zakonitega ogrodja, kot je Windows PowerShell, za zlonamerno aktivnost na napravi žrtve. Kombinacija obeh pristopov omogoča napadalcem, da zaobidejo zaznavne sisteme običajnih varnostnih rešitev. Za zaznavo takšnih tehnik morajo varnostne rešitve namreč uporabljati tehnologijo za preprečevanje programske opreme, ki izkorišča ranljivosti v računalniškem sistemu, in sisteme za zaznavo vedenjskih vzorcev,« razlaga Anton Ivanov, varnostni raziskovalec v družbi Kaspersky Lab.

Varnostne rešitve družbe Kaspersky Lab so zaznale več primerov programske opreme, ki izkorišča ranljivosti računalniškega sistema, kot so: HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic in PDM:Exploit.Win32.Generic. Ranljivost je bila sporočena družbi Microsoft in odpravljena 10. aprila 2019. Kaspersky Lab uporabnikom svetuje, da za preprečitev namestitve zlonamerne programske opreme, ki vzpostavi stranska vrata preko ranljivosti ničtega dneva operacijskega sistema Windows, upoštevajo naslednje varnostne ukrepe:
- Ko je ranljivost odpravljena in popravek naložen, jo morebitni napadalci ne morejo več uporabiti. Zato namestite Microsoftove popravke ugotovljenih ranljivosti takoj, ko je to mogoče.
- Če vas skrbi varnost vaše organizacije, se prepričajte, da je vsa programska oprema posodobljena, takoj ko so na voljo nove varnostne posodobitve. Da zagotovite samodejno odvijanje procesov, uporabljajte varnostne izdelke, ki vključujejo ocenjevanje ranljivosti in zmožnost upravljanja popravkov.
- Uporabljajte preizkušeno varnostno rešitev, ki ima zmožnost zaščite pred nepoznanimi grožnjami na osnovi zaznave vedenja, kot je Kaspersky Endpoint Security.
- Prepričajte se, da ima vaša varnostna ekipa dostop do najnovejšega  strokovnega znanja s področja kibernetskih varnostnih groženj. Zasebna poročila o najnovejšem razvoju krajine groženj so dostopna strankam storitve Kasperesky Intelligence Reporting. Za več informacij lahko pišete na intelreports@kaspersky.com.
- Zagotovite, da ima vaše osebje osnovne veščine za zagotavljanje spletne varnosti.

Več informacij o novi programski opremi, ki izkorišča napake v računalniškem sistemu, najdete na spletnem mestu Securelist. Da bi pobližje spoznali delovanje tehnologij, ki so zaznale to in druge ranljivosti ničtega dneva v operacijskem sistemu Microsoft Windows, vabljeni k ogledu spletnega seminarja družbe Kaspersky Lab.