Tehnologiile Kaspersky Lab au detectat automat o nouă vulnerabilitate exploatată în kernel-ul Microsoft Windows, acesta fiind cel de-al treilea exploit zero-day consecutiv, descoperit în decursul a trei luni. Cea mai recentă vulnerabilitate exploatată (CVE-2018-8611) a fost găsită în programe malware care vizau un număr mic de victime din Orientul Mijlociu și Asia. Deoarece vulnerabilitatea există în modul kernel al sistemului de operare, exploit-ul este deosebit de periculos și poate fi utilizat pentru a ocoli mecanismele de apărare încorporate în browser-ele web moderne, inclusiv Chrome și Edge. Vulnerabilitatea a fost raportată companiei Microsoft, care a lansat un patch.
Vulnerabilitățile zero-day nu sunt cunoscute anterior și, prin urmare, nu sunt rezolvate, rămânând bug-uri în software pe care atacatorii le pot exploata pentru a avea acces la sistemele și dispozitivele victimelor. Ele sunt extrem de valoroase pentru atacatori și sunt greu de detectat.
Toate cele trei exploit-uri au fost detectate de tehnologia Kaspersky Lab Automobile Exploit Prevention, încorporată în majoritatea produselor companiei. Ca și cele două vulnerabilități exploatate anterior (CVE-2018-8589 și CVE-2018-8453), pentru care Microsoft a publicat patch-uri în octombrie și noiembrie, cel mai recent exploit a fost descoperit țintind victime din Orientul Mijlociu. Exploit-ul pentru CVE-2018-8589 a fost denumit „Alice” de autorii programului malware, care au făcut referire și la cel mai recent exploit, ca „Jasmine”. Cercetătorii Kaspersky Lab consideră că noua vulnerabilitate a fost exploatată de mai mulți atacatori, inclusiv de un nou grup APT, numit Sandcat.
„Detectarea a trei zero days în modul kernel, în câteva luni, este o dovadă că produsele noastre folosesc cele mai bune tehnologii, capabile să detecteze astfel de amenințări complexe”, spune Anton Ivanov, security expert la Kaspersky Lab. „Pentru organizații, este important să înțeleagă că, pentru a-și proteja perimetrul, ar trebui să utilizeze o soluție care să îmbine protecția obiectivelor cu o platformă avansată de detectare a amenințărilor.”
Kaspersky Lab recomandă următoarele măsuri de securitate:
– Instalați patch-ul Microsoft pentru noua vulnerabilitate.
– Asigurați-vă că actualizați periodic toate programele utilizate în organizație și de fiecare dată când este lansat un nou patch de securitate. Produsele de securitate cu funcții de evaluare a vulnerabilității și de gestionare a patch-urilor pot ajuta la automatizarea acestor procese.
– Alegeți o soluție de securitate cu eficiență demonstrată, cum ar fi Kaspersky Endpoint Security, care este echipată cu capabilități de detectare bazate pe comportament, pentru o protecție eficientă împotriva amenințărilor cunoscute și necunoscute, inclusiv a exploit-urilor.
– Utilizați instrumente avansate de securitate cum ar fi Kaspersky Anti Targeted Attack Platform (KATA), în cazul în care compania dvs. necesită o protecție complexă.
– Asigurați-vă că echipa de securitate are acces la cele mai noi informații privind amenințările cibernetice. Pentru clienții serviciului Kaspersky Intelligence Reporting sunt disponibile rapoarte private despre cele mai recente evoluții din peisajul amenințărilor cibernetice.
– Nu în ultimul rând, asigurați-vă că personalul este instruit în ceea ce privește elementele de bază ale securității informatice.