Спецпроекты

«Лаборатория Касперского» обнаружила критическую уязвимость в Windows

Безопасность Пользователю Интеграция Системное ПО

«Лаборатория Касперского» обнаружила ранее неизвестную уязвимость в операционной системе Microsoft Windows. С помощью этого программного бага злоумышленники пытаются заполучить контроль над зараженными устройствами. Их цель – ядро системы, и для ее достижения они используют бэкдор, написанный на легитимном компоненте Windows PowerShell.

Бэкдоры – крайне опасный тип вредоносного ПО, который позволяет атакующим скрытно осуществлять удаленное управление устройством. При этом если бэкдор использует ранее неизвестную уязвимость (так называемую уязвимость нулевого дня), у него значительно больше шансов обойти стандартные механизмы защиты.

Тем не менее технология автоматической защиты от эксплойтов в решениях «Лаборатории Касперского» распознала новую угрозу. Как выяснили эксперты компании, сценарий атаки сводится к следующему: вначале на устройстве запускается файл .exe, а затем он устанавливает вредоносное ПО, которое в свою очередь подгружает тот самый бэкдор, написанный на PowerShell. Поскольку заражение происходит с использованием уязвимости нулевого дня, а зловред задействует легальные инструменты, атакующие потенциально имеют все шансы прочно закрепиться в зараженной системе и незаметно ее контролировать.

«В этой истории мы видим два основных тренда, характерных для сложных атак АРТ-класса – так называемых Advanced Persistent Threats. Во-первых, это применение эксплойтов для повышения привилегий на локальной машине с целью успешного закрепления в системе. А во-вторых, это использование легитимных инструментов – в данном случае PowerShell – во вредоносных целях. Такой подход дает злоумышленникам возможность обходить стандартные механизмы защиты. Для того чтобы успешно справляться с подобными угрозами, защитные решения должны обладать технологиями поведенческого анализа и автоматической блокировки эксплойтов», – отметил Антон Иванов, руководитель отдела исследования и детектирования сложных угроз «Лаборатории Касперского».

Продукты «Лаборатории Касперского» распознают эксплойт как HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic или PDM:Exploit.Win32.Generic.

Для устранения уязвимости 10 апреля 2019 г. компания Microsoft выпустила соответствующее обновление.



Тема месяца

Обзор: ИТ в промышленности 2019

Рейтинги CNews

Крупнейшие поставщики ИТ на промышленные предприятия

Технология месяца

Что нужно знать о развитии СУБД: от «Спутника» до наших дней

Какие задачи решают системы управления базами данных сейчас и какие готовы решать в будущем?