קספרסקי חושף חולשת 'יום אפס' נוספת במערכת חלונות של מיקרוסופט
עמי רוחקס דומבה
| 21/04/2019
קרדיט: מעבדת קספרסקי
דלתות אחוריות הן סוג מסוכן ביותר של קוד זדוני, מכיוון שהן מאפשרות לגורם התוקף לשלוט במכשיר הפגוע מבלי להיחשף. במרבית המקרים קשה להחביא מפני פתרונות אבטחה סוג כזה של ניצול המערכת על ידי גורם חיצוני, אלא שלדלת אחורית המנצלת פגם במערכת שלא היה מוכר בעבר – פירצת יום אפס – יש סיכוי גדול בהרבה להימנע מגילוי. פתרונות אבטחה רגילים אינם יכולים לזהות את ההדבקה של המערכת והם אינם יכולים להגן על המשתמשים מפני איומים שעדיין אינם מוכרים.
טכנולוגיית Exploit Prevention של מעבדת קספרסקי הצליחה לזהות גם הפעם את הניסיון לנצל את הפירצה הבלתי מוכרת במערכת חלונות של מיקרוסופט. תרחיש ההתקפה שנחשף התבצע כך: ברגע שקובץ ה- .exe הזדוני הופעל, הוחל בהתקנת הקוד הזדוני. הקוד ניצל את פירצת יום האפס והשיג את הרשאות הגישה הנדרשות כדי להתבסס במכשיר הקורבן.
לאחר מכן הקוד הזדוני החל את הפעלת הדלת האחורית שמתבססת על רכיב קיים במערכת חלונות, ואשר נמצא על כל המכונות המפעילות אותה – סביבת קוד הנקראת PowerShell. הדבר אפשר לגורמי האיום לפעול בחשאיות ולהימנע מגילוי, וחסך להם זמן רב בכתיבת כלים זדוניים חדשים. לאחר מכן הקוד הזדוני הוריד דלת אחורית נוספת שנמצאה בשירות אחסון טקסט נפוץ, וזו העניקה לעבריינים את השליטה המלאה שהם מחפשים על המערכת שהודבקה.
"בהתקפה זו הבחנו בשתי מגמות שאנו רואים לעיתים קרובות בקמפיינים של ריגול (APT). הראשונה היא התקדמות הדרגתית (אסקלציה) בניצול הרשאות מקומיות כדי לאפשר הישארות על מכשיר הקורבן. השניה, שימוש בכלים מוכרים ולגיטימיים, כגון Windows PowerShell, לצורך פעילות זדונית על מכשיר הקורבן. שילוב זה מעניק לגורמי האיום את היכולת לעקוף פתרונות אבטחה רגילים. כדי לזהות טכניקות פעולה שכאלה, פתרון האבטחה חייב להשתמש ביכולת מניעת פרצות ובמנועים לזיהוי התנהגות", אמר אנטון איבנוב, מומחה אבטחה, מעבדת קספרסקי.
הפירצה דווחה למיקרוסופט ונסגרה בעדכון ב-10 באפריל. כדי למנוע התקנה של דלתות אחוריות באמצעות פרצות יום אפס במערכת חלונות. פרטים נוספים אודות הפירצה החדשה ניתן לקרוא ב- Securelist ובבלוג קספרסקי.
קרדיט: מעבדת קספרסקי
דלתות אחוריות הן סוג מסוכן ביותר של קוד זדוני, מכיוון שהן מאפשרות לגורם התוקף לשלוט במכשיר הפגוע מבלי להיחשף. במרבית המקרים קשה להחביא מפני פתרונות אבטחה סוג כזה של ניצול המערכת על ידי גורם חיצוני, אלא שלדלת אחורית המנצלת פגם במערכת שלא היה מוכר בעבר – פירצת יום אפס – יש סיכוי גדול בהרבה להימנע מגילוי. פתרונות אבטחה רגילים אינם יכולים לזהות את ההדבקה של המערכת והם אינם יכולים להגן על המשתמשים מפני איומים שעדיין אינם מוכרים.
טכנולוגיית Exploit Prevention של מעבדת קספרסקי הצליחה לזהות גם הפעם את הניסיון לנצל את הפירצה הבלתי מוכרת במערכת חלונות של מיקרוסופט. תרחיש ההתקפה שנחשף התבצע כך: ברגע שקובץ ה- .exe הזדוני הופעל, הוחל בהתקנת הקוד הזדוני. הקוד ניצל את פירצת יום האפס והשיג את הרשאות הגישה הנדרשות כדי להתבסס במכשיר הקורבן.
לאחר מכן הקוד הזדוני החל את הפעלת הדלת האחורית שמתבססת על רכיב קיים במערכת חלונות, ואשר נמצא על כל המכונות המפעילות אותה – סביבת קוד הנקראת PowerShell. הדבר אפשר לגורמי האיום לפעול בחשאיות ולהימנע מגילוי, וחסך להם זמן רב בכתיבת כלים זדוניים חדשים. לאחר מכן הקוד הזדוני הוריד דלת אחורית נוספת שנמצאה בשירות אחסון טקסט נפוץ, וזו העניקה לעבריינים את השליטה המלאה שהם מחפשים על המערכת שהודבקה.
"בהתקפה זו הבחנו בשתי מגמות שאנו רואים לעיתים קרובות בקמפיינים של ריגול (APT). הראשונה היא התקדמות הדרגתית (אסקלציה) בניצול הרשאות מקומיות כדי לאפשר הישארות על מכשיר הקורבן. השניה, שימוש בכלים מוכרים ולגיטימיים, כגון Windows PowerShell, לצורך פעילות זדונית על מכשיר הקורבן. שילוב זה מעניק לגורמי האיום את היכולת לעקוף פתרונות אבטחה רגילים. כדי לזהות טכניקות פעולה שכאלה, פתרון האבטחה חייב להשתמש ביכולת מניעת פרצות ובמנועים לזיהוי התנהגות", אמר אנטון איבנוב, מומחה אבטחה, מעבדת קספרסקי.
הפירצה דווחה למיקרוסופט ונסגרה בעדכון ב-10 באפריל. כדי למנוע התקנה של דלתות אחוריות באמצעות פרצות יום אפס במערכת חלונות. פרטים נוספים אודות הפירצה החדשה ניתן לקרוא ב- Securelist ובבלוג קספרסקי.
