נחשפה פרצה קריטית בליבת מערכת חלונות המנוצלת על ידי קבוצת פשע לא מוכרת
מאת:
מערכת Telecom News, 17.4.19, 12:45
ההתקפה מכוונת כנגד ליבת המערכת (Kernel) באמצעות דלת אחורית המבוססת על מרכיב חיוני במערכת ההפעלה חלונות. איך זה התרחש? איך למנוע בארגון התקנה של דלתות אחוריות באמצעות פרצות יום אפס במערכת חלונות?
דלתות אחוריות הן סוג מסוכן ביותר של קוד זדוני, מכיוון שהן מאפשרות לגורם התוקף לשלוט במכשיר הפגוע מבלי להיחשף. במרבית המקרים קשה להחביא מפני פתרונות אבטחה סוג כזה של ניצול המערכת ע"י גורם חיצוני, אלא שלדלת אחורית המנצלת פגם במערכת שלא היה מוכר בעבר - פרצת יום אפס - יש סיכוי גדול בהרבה להימנע מגילוי. פתרונות אבטחה רגילים אינם יכולים לזהות את ההדבקה של המערכת והם אינם יכולים להגן על המשתמשים מפני איומים, שעדיין אינם מוכרים.
טכנולוגיית
Exploit Prevention של מעבדת קספרסקי הצליחה לזהות גם הפעם את הניסיון לנצל את הפרצה הבלתי מוכרת במערכת חלונות של מיקרוסופט. תרחיש ההתקפה שנחשף התבצע כך:
ברגע שקובץ ה-
.exe הזדוני הופעל, הוחל בהתקנת הקוד הזדוני. הקוד ניצל את פרצת יום האפס והשיג את הרשאות הגישה הנדרשות כדי להתבסס במכשיר הקורבן.
לאחר מכן הקוד הזדוני החל את הפעלת הדלת האחורית, שמתבססת על רכיב קיים במערכת חלונות, ונמצא על כל המכונות המפעילות אותה - סביבת קוד הנקראת
PowerShell. הדבר אפשר לגורמי האיום לפעול בחשאיות ולהימנע מגילוי, וחסך להם זמן רב בכתיבת כלים זדוניים חדשים.
לאחר מכן הקוד הזדוני הוריד דלת אחורית נוספת, שנמצאה בשירות אחסון טקסט נפוץ, וזו העניקה לעבריינים את השליטה המלאה, שהם מחפשים על המערכת שהודבקה.
הפרצה דווחה למיקרוסופט ונסגרה בעדכון ב-10.4.19. כדי למנוע התקנה של דלתות אחוריות באמצעות פרצות יום אפס במערכת חלונות, החברה ממליצה על האמצעים הבאים:
ברגע שמתפרסם עדכון לפרצה והוא מתעדכן במכשיר, נסגר חלון ההזדמנויות של גורמי האיום להשתמש בפרצה זו. התקינו את
העדכון לפרצה החדשה מוקדם ככל הניתן.
אם אתם מודאגים לגבי בטיחות הארגון שלכם הבטיחו, שכל התוכנה בארגון מעודכנת ברגע שמתפרסם עדכון חדש.
השתמשו במוצרי אבטחה עם יכולות לזיהוי פגיעויות ויכולות ניהול עדכונים, כדי להבטיח, שהתהליכים האלה רצים באופן אוטומטי.
השתמשו בפתרון אבטחה מוכח עם יכולות זיהוי מבוססות התנהגות, להגנה מפני איומים שאינם מוכרים.
הבטיחו, שלצוות שלכם יש גישה למודיעין האיומים העדכני ביותר.
אחרון, אבל לא פחות חשוב, הבטיחו, שהצוות שולט בעקרונות של היגיינת הסייבר.
אנטון איבנוב, מומחה אבטחה, מעבדת קספרסקי: "בהתקפה זו הבחנו ב-2 מגמות, שאנו רואים לעיתים קרובות בקמפיינים של ריגול (
APT):
הראשונה היא התקדמות הדרגתית (אסקלציה) בניצול הרשאות מקומיות כדי לאפשר הישארות על מכשיר הקורבן.
השנייה, שימוש בכלים מוכרים ולגיטימיים, כגון
Windows PowerShell, לצורך פעילות זדונית על מכשיר הקורבן.
שילוב זה מעניק לגורמי האיום את היכולת לעקוף פתרונות אבטחה רגילים. כדי לזהות טכניקות פעולה כאלה, פתרון האבטחה חייב להשתמש ביכולת מניעת פרצות ובמנועים לזיהוי התנהגות".
פרטים נוספים אודות הפרצה החדשה -
כאן ו
כאן.