פירצה קריטית בליבה של מערכת חלונות
פירצה קריטית בליבה של מערכת חלונותצילום: מעבדת קספרסקי

מעבדת קספרסקי מדווחת כי חשפה פירצה קריטית בליבה של מערכת חלונות.

הפרצה נוצלה על ידי קבוצת עבריינים לא מוכרת על מנת להשיג שליטה מלאה על מכשירי המטרה.

מהמעבדה נמסר כי ההתקפה מכוונת כנגד ליבת המערכת (Kernel) באמצעות דלת אחורית המבוססת על מרכיב חיוני במערכת ההפעלה חלונות.

דלתות אחוריות הן סוג מסוכן ביותר של קוד זדוני, מכיוון שהן מאפשרות לגורם התוקף לשלוט במכשיר הפגוע מבלי להיחשף. במרבית המקרים קשה להחביא מפני פתרונות אבטחה סוג כזה של ניצול המערכת על ידי גורם חיצוני, אלא שלדלת אחורית המנצלת פגם במערכת שלא היה מוכר בעבר – פירצת יום אפס – יש סיכוי גדול בהרבה להימנע מגילוי. פתרונות אבטחה רגילים אינם יכולים לזהות את ההדבקה של המערכת והם אינם יכולים להגן על המשתמשים מפני איומים שעדיין אינם מוכרים.

טכנולוגיית Exploit Prevention של מעבדת קספרסקי הצליחה לזהות גם הפעם את הניסיון לנצל את הפירצה הבלתי מוכרת במערכת חלונות של מיקרוסופט. תרחיש ההתקפה שנחשף התבצע כך: ברגע שקובץ ה- .exe הזדוני הופעל, הוחל בהתקנת הקוד הזדוני.

הקוד ניצל את פירצת יום האפס והשיג את הרשאות הגישה הנדרשות כדי להתבסס במכשיר הקורבן. לאחר מכן הקוד הזדוני החל את הפעלת הדלת האחורית שמתבססת על רכיב קיים במערכת חלונות, ואשר נמצא על כל המכונות המפעילות אותה – סביבת קוד הנקראת PowerShell. הדבר אפשר לגורמי האיום לפעול בחשאיות ולהימנע מגילוי, וחסך להם זמן רב בכתיבת כלים זדוניים חדשים.

לאחר מכן הקוד הזדוני הוריד דלת אחורית נוספת שנמצאה בשירות אחסון טקסט נפוץ, וזו העניקה לעבריינים את השליטה המלאה שהם מחפשים על המערכת שהודבקה.

"בהתקפה זו הבחנו בשתי מגמות שאנו רואים לעיתים קרובות בקמפיינים של ריגול (APT). הראשונה היא התקדמות הדרגתית (אסקלציה) בניצול הרשאות מקומיות כדי לאפשר הישארות על מכשיר הקורבן. השניה, שימוש בכלים מוכרים ולגיטימיים, כגון Windows PowerShell, לצורך פעילות זדונית על מכשיר הקורבן. שילוב זה מעניק לגורמי האיום את היכולת לעקוף פתרונות אבטחה רגילים. כדי לזהות טכניקות פעולה שכאלה, פתרון האבטחה חייב להשתמש ביכולת מניעת פרצות ובמנועים לזיהוי התנהגות", אמר אנטון איבנוב, מומחה אבטחה, מעבדת קספרסקי.

הפירצה דווחה למיקרוסופט ונסגרה בעדכון לפני שבוע. כדי למנוע התקנה של דלתות אחוריות באמצעות פרצות יום אפס במערכת חלונות - מעבדת קספרסקי ממליצה על האמצעים הבאים:

ברגע שמתפרסם עדכון לפרצה והוא מתעדכן במכשיר, נסגר חלון ההזדמנויות של גורמי האיום להשתמש בפירצה זו. התקינו את העדכון לפרצה החדשה מוקדם ככל הניתן.

אם אתם מודאגים לגבי בטיחות הארגון שלכם, הבטיחו כי כל התוכנה בארגון מעודכנת ברגע שמתפרסם עדכון חדש. השתמשו במוצרי אבטחה עם יכולות לזיהוי פגיעויות ויכולות ניהול עדכונים, כדי להבטיח כי התהליכים האלה רצים באופן אוטומטי.

השתמשו בפתרון אבטחה מוכח עם יכולות זיהוי מבוססות התנהגות, להגנה מפני איומים שאינם מוכרים, כגון Kaspersky Endpoint Security

הבטיחו כי לצוות שלכם יש גישה למודיעין האיומים העדכני ביותר. אחרון, אבל לא פחות חשוב, הבטיחו כי הצוות שולט בעקרונות של היגיינת הסייבר.