CVE-2018-8589: Kolejny dzień, kolejna luka w systemie operacyjnym

Miesiąc temu pisaliśmy o wykryciu exploita dla luki w systemie Microsoft Windows. Nasze technologie proaktywne wykryły kolejnego exploita dnia zerowego, który również wykorzystuje nieznaną dotąd lukę w systemie operacyjnym. Tym razem narażone są systemy Windows 7 i Windows Server 2008.

Ograniczenie to nie zmniejsza jednak poziomu zagrożenia. Mimo że firma Microsoft zakończyła oficjalne wsparcie dla platformy Windows Server 2008 w styczniu 2015 r. i umożliwiła darmową aktualizację do nowszego systemu, jakim był wtedy Windows 10, nie każdy skorzystał z okazji. Producenci nadal dostarczają łaty bezpieczeństwa i wsparcie dla obu systemów (i powinni to kontynuować do 14 stycznia 2020 r.), gdyż wciąż mają na tyle dużo klientów, aby świadczyć dla nich wsparcie techniczne.

Po wykryciu exploita pod koniec października nasi eksperci niezwłocznie zgłosili jego istnienie firmie Microsoft, dostarczając również dowód koncepcji. Łata została udostępniona przez programistów 13 listopada.

Co należy wiedzieć o tej luce i powiązanej z nią exploicie

To luka dnia zerowego, która umożliwia podniesienie poziomu uprawnień w sterowniku win32k.sys. Dzięki niej atakujący mogą uzyskać wystarczające uprawnienia do przebywania w zaatakowanym systemie.

Exploit został wykorzystany w kilku atakach typu APT, przeprowadzonych głównie w regionie Bliskiego Wschodu. Atakowane były tylko 32-bitowe wersje systemu Windows 7. Szczegółowe informacje techniczne można znaleźć w tym poście w serwisie ScureList. Subskrybenci naszych raportów zawierających analizę zagrożeń mogą również uzyskać dodatkowe informacje na temat ataku, pisząc na adres intelreports@kaspersky.com.

Jak zapewnić sobie bezpieczeństwo

Warto pamiętaj o stosowaniu tradycyjnych środków bezpieczeństwa w odniesieniu do luk:

• Nie zwlekaj z instalacją łat udostępnianych przez np. Microsoft.
• Regularnie aktualizuj wszystkie programy, z których korzysta firma, do najnowszych wersji.
• Przestań korzystać z przestarzałego oprogramowania, zanim zakończone zostanie dla niego wsparcie techniczne.
• Korzystaj z produktów zabezpieczających, które zawierają opcję wyszukiwania luk i instalowania ich, co umożliwia automatyzowanie procesu aktualizacji.
• Korzystaj z solidnego produktu ochronnego, który[ potrafi wykrywać zagrożenia na podstawie ich zachowania, zapewniając skuteczną ochronę także przed nieznanymi dotąd zagrożeniami, w tym exploitami dni zerowego.

Przypomnijmy: za wykrycie tego wcześniej nieznanego zagrożenia odpowiedzialne są nasze technologie proaktywne, czyli zaawansowana piaskownica i silnik ochrony przed szkodliwymi programami zaimplementowany w rozwiązaniu Kaspersky Anti Targeted Attack Platform (przygotowanym specjalnie w celu ochrony przed zagrożeniami typu APT), jak również technologia automatycznej ochrony przed exploitami, która tworzy integralny podsystem rozwiązania Kaspersky Endpoint Security for Business.