Pozor na novou zero-day zranitelnost Windows, Kaspersky odhalil exploit MysterySnail

14. října 2021 – Koncem léta 2021 zabránily automatické detekční technologie společnosti Kaspersky na několika serverech s Microsoft Windows sérii útoků využívajících exploit pro zvýšení úrovně oprávnění. Po bližší analýze útoku objevili výzkumníci společnosti Kaspersky nový zero-day exploit.

Během první poloviny roku zaznamenali odborníci společnosti Kaspersky nárůst útoků využívajících tzv. zranitelnost nultého dne. Jako „zero-day“ zranitelnost se označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dřív, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky můžou být mimořádně úspěšné. 

Technologie společnosti Kaspersky zjistily sérii útoků využívajících exploit k zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Tento exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost CVE-2016-3309, bližší analýza však ukázala, že se jedná o nový zero-day exploit. Výzkumníci společnosti Kaspersky jej nazvali MysterySnail.

Nová hrozba od čínských hackerů?

Zjištěná podobnost kódu a způsobu použití infrastruktury C&C serverů vedly výzkumníky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012. 

Analýzou dat přenášených malwarem použitým k šíření exploitu výzkumníci společnosti Kaspersky zjistili, že varianty tohoto malwaru se používaly v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům.

Zranitelnost byla nahlášena společnosti Microsoft a ten ji opravil 12. října 2021 v rámci říjnového záplatovacího úterý.

Produkty společnosti Kaspersky nyní tento exploit detekují a chrání IT systémy před zneužitím výš uvedené zranitelnosti a souvisejícími moduly malwaru.

„V posledních několika letech pozorujeme soustavný zájem útočníků o hledání a zneužívání nových zero-day zranitelností. Zranitelnosti, které výrobci dosud neznají, můžou představovat vážnou hrozbu pro všechny organizace. Většina takových exploitů však sdílí podobné chování. Proto je důležité spoléhat se na nejnovější informace o hrozbách a instalovat bezpečnostní řešení, která proaktivně vyhledávají dosud neznámé hrozby,“ popisuje Boris Larin, bezpečnostní expert z globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.

Více informací o tomto novém zero-day útoku najdete na webu Securelist.com.

Chcete-li svoji organizaci ochránit před útoky zneužívajícími těchto zranitelností, odborníci společnosti Kaspersky doporučují někoik kroků.

  • Co nejdříve aktualizujte operační systém Microsoft Windows a další software třetích stran a dbejte na pravidelné provádění aktualizací.
  • Používejte spolehlivé řešení zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business, které je vybaveno prevencí zneužití, detekcí chování a nápravným mechanismem, který dokáže zrušit změny způsobené záškodnickými akcemi.
  • Nainstalujte řešení k potlačení pokročilých perzistentních hrozeb (APT) a ochranu koncových bodů (EDR), která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení. Vše výše uvedené je k dispozici v rámci Kaspersky Expert Security.
  • Společně se správnou ochranou koncových bodů můžou proti útokům na vysoce postavené cíle pomoct také specializované služby. Například nástroj Kaspersky Managed Detection and Response dokáže identifikovat a zastavit útoky už v jejich rané fázi, než útočníci dosáhnou zamýšlených cílů.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na http://www.kaspersky.com.