Спецпроекты

«Лаборатория Касперского» обнаружила критическую уязвимость в Windows

Безопасность Пользователю Интеграция Системное ПО

«Лаборатория Касперского» обнаружила ранее неизвестную уязвимость в операционной системе Microsoft Windows. С помощью этого программного бага злоумышленники пытаются заполучить контроль над зараженными устройствами. Их цель – ядро системы, и для ее достижения они используют бэкдор, написанный на легитимном компоненте Windows PowerShell.

Бэкдоры – крайне опасный тип вредоносного ПО, который позволяет атакующим скрытно осуществлять удаленное управление устройством. При этом если бэкдор использует ранее неизвестную уязвимость (так называемую уязвимость нулевого дня), у него значительно больше шансов обойти стандартные механизмы защиты.

Тем не менее технология автоматической защиты от эксплойтов в решениях «Лаборатории Касперского» распознала новую угрозу. Как выяснили эксперты компании, сценарий атаки сводится к следующему: вначале на устройстве запускается файл .exe, а затем он устанавливает вредоносное ПО, которое в свою очередь подгружает тот самый бэкдор, написанный на PowerShell. Поскольку заражение происходит с использованием уязвимости нулевого дня, а зловред задействует легальные инструменты, атакующие потенциально имеют все шансы прочно закрепиться в зараженной системе и незаметно ее контролировать.

«В этой истории мы видим два основных тренда, характерных для сложных атак АРТ-класса – так называемых Advanced Persistent Threats. Во-первых, это применение эксплойтов для повышения привилегий на локальной машине с целью успешного закрепления в системе. А во-вторых, это использование легитимных инструментов – в данном случае PowerShell – во вредоносных целях. Такой подход дает злоумышленникам возможность обходить стандартные механизмы защиты. Для того чтобы успешно справляться с подобными угрозами, защитные решения должны обладать технологиями поведенческого анализа и автоматической блокировки эксплойтов», – отметил Антон Иванов, руководитель отдела исследования и детектирования сложных угроз «Лаборатории Касперского».

Продукты «Лаборатории Касперского» распознают эксплойт как HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic или PDM:Exploit.Win32.Generic.

Для устранения уязвимости 10 апреля 2019 г. компания Microsoft выпустила соответствующее обновление.



Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»