Luka w jądrze usługi Kernel Transaction Manager

Cyberprzestępcy nie ustają w testowaniu systemu Windows, a nasze technologie zabezpieczające nadal to wykrywają i uniemożliwiają wykorzystanie słabych punktów. To nie pierwsze, a nawet nie drugie odkrycie tego rodzaju w ciągu ostatnich trzech lat. Tym razem nasze systemy wykryły próbę wykorzystania luki w jądrze usługi Windows Kernel Transaction Manager.

Nowy exploit dnia zerowego został użyty przeciwko ofiarom zlokalizowanym na Bliskim Wschodzie i w Azji. Wykorzystana luka, CVE-2018-8611, umożliwiała użycie uprawnień w sytuacji, gdy jądro Windows nie obsługiwało poprawnie obiektów w pamięci. W efekcie atakujący moli uruchamiać dowolny kod w trybie jądra.

W praktyce oznacza to, że atakujący mogą instalować programy, zmieniać lub wyświetlać dane czy nawet tworzyć nowe konta. Według naszych ekspertów exploit ten może zostać również wykorzystany do opuszczenia trybu piaskownicy w nowszych przeglądarkach internetowych, w tym Chrome i Edge. Szczegółowe informacje na ten temat znajdują się w języku angielskim w serwisie SecureList. Informacje na temat luki CVE-2018-8611 i atakujących, którzy próbowali ją wykorzystać, są dostępne dla klientów usługi Kaspersky Intelligence Reports pod adresem intelreports@kaspersky.com.

Nasi eksperci zgłosili tę lukę programistom firmy Microsoft, która udostępniła już odpowiednią łatę eliminującą błąd obsługi obiektów przez jądro systemu Windows w pamięci.

Jak zapewnić sobie bezpieczeństwo

Porady w tej kwestii obejmują tradycyjne zasady ochrony przed wykorzystaniem luk:

• Nie czuj się bezpiecznie tylko dlatego, że ofiar exploita było niewiele. Od chwili poinformowania o jego wykryciu więcej cyberprzestępców może próbować go wykorzystać, więc niezwłocznie zainstaluj łatę.
• Regularnie aktualizuj całe oprogramowanie wykorzystywane w firmie.
• Używaj produktów zabezpieczających oferujących automatyczne wyszukiwanie i eliminowanie luk.
• Używaj produktów zabezpieczających, które potrafią wykrywać zagrożenia na podstawie ich zachowania, zapewniając skuteczną ochronę przed znanymi zagrożeniami, w tym exploitami dnia zerowego.

Warto tu podkreślić, że zanim nasze technologie zabezpieczające wykryły wspomnianego exploita, luka ta nie była znana. Dlatego zalecamy korzystanie z produktów, które zapewniają odpowiedni poziom bezpieczeństwa. Nasz pierwszy produkt, który powstał specjalnie z myślą o ochronie przed zagrożeniami APT, to Kaspersky Anti Targeted Attack Platform — dzięki zaawansowanej piaskownicy i silnikowi chroni przed szkodliwymi programami. Drugi, Kaspersky Endpoint Security for Business, ma wbudowaną technologię automatycznej ochrony przed exploitami, która wykryła lukę CVE-2018-8611.