W październiku 2018 r. technologia „Automatyczne zapobieganie exploitom”, w którą wyposażona jest większość produktów Kaspersky Lab, wykryła ataki wykorzystujące luki dnia zerowego w systemie Windows. Była to druga z rzędu seria ataków tego rodzaju wykorzystanych w ciągu zaledwie jednego miesiąca w serii cyberataków na Bliskim Wschodzie. Luka została zgłoszona firmie Microsoft, która opublikowała dla niej łatę 13 listopada 2018 r.
Ataki oparte na lukach dnia zerowego należą do najgroźniejszych, ponieważ — wykorzystując nieznany i niezałatany słaby punkt — są trudne do wykrycia oraz zapobiegania. Tego rodzaju luka, jeśli zostanie zidentyfikowana przez cyberprzestępców, może zostać wykorzystana do stworzenia exploita – specjalnego szkodliwego oprogramowania, które otworzy dostęp do całego systemu. Ten scenariusz ataku za pomocą „ukrytego zagrożenia” jest powszechnie stosowany przez zaawansowanych cyberprzestępców.
Analiza nowego exploita doprowadziła ekspertów z Kaspersky Lab do nieznanej wcześniej luki dnia zerowego. Chociaż metoda dostarczenia exploita nie jest jeszcze znana, wiadomo, że został on wykonany w pierwszym etapie ataku w celu uzyskania niezbędnych uprawnień umożliwiających długotrwałą obecność w systemie ofiary. Exploit umożliwiał atakowanie jedynie 32-bitowej wersji systemu Windows 7.
Według ekspertów z Kaspersky Lab nie ma żadnej wyraźnej wskazówki pozwalającej zidentyfikować osoby odpowiedzialne za te ataki; wiadomo jednak, że exploit jest wykorzystywany przez co najmniej jedno, a możliwe że więcej, ugrupowań cyberprzestępczych.
Po wykryciu luki eksperci z Kaspersky Lab natychmiast poinformowali o tym firmę Microsoft, która 13 listopada 2018 r. opublikowała łatę usuwającą podatność.
Zaledwie kilka tygodni wcześniej, na początku października, badacze z Kaspersky Lab zaobserwowali w zabezpieczeniach systemu Windows innego exploita dla luki dnia zerowego, który był dostarczany ofiarom za pośrednictwem skryptu PowerShell. Zagrożenie to zostało proaktywnie zidentyfikowane przez technologię firmy Kaspersky Lab i także zgłoszone firmie Microsoft.
– Tegoroczna jesień okazała się dość gorącym okresem, jeśli chodzi o luki dnia zerowego. W ciągu zaledwie jednego miesiąca wykryliśmy dwie takie podatności oraz zidentyfikowaliśmy dwie serie ataków w jednym regionie. Dyskretność charakteryzująca działania cyberprzestępców przypomina, jak niezwykle istotne jest w przypadku firm posiadanie niezbędnych narzędzi oraz rozwiązań, które będą wystarczająco inteligentne, aby zabezpieczyć je przed takimi zaawansowanymi zagrożeniami — powiedział Anton Iwanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
W celu uniknięcia exploitów dnia zerowego Kaspersky Lab zaleca stosowanie następujących środków zapobiegawczych:
- Wystrzegaj się oprogramowania, o którym wiadomo, że jest podatne na ataki lub które zostało niedawno wykorzystane w cyberatakach.
- Dopilnuj, aby oprogramowanie wykorzystywane w Twojej firmie było regularnie aktualizowane do najnowszych wersji. W automatyzacji tych procesów pomocne mogą być produkty bezpieczeństwa zawierające funkcje oceny luk w zabezpieczeniach oraz zarządzania łatami.
- Korzystaj z niezawodnego rozwiązania bezpieczeństwa, takiego jak Kaspersky Endpoint Security for Business, które oferuje możliwości wykrywania na podstawie zachowania w celu zapewnienia skutecznej ochrony przed znanymi i nieznanymi zagrożeniami, łącznie z exploitami.
- Zapewnij swojemu zespołowi ds. bezpieczeństwa dostęp do danych analitycznych dotyczących najnowszych cyberzagrożeń.