Zero-day zranitelnost u Desktop Windows Managera

Zero-day zranitelnost je softwarovou chybou, kterou dosud nikdo neodhalil - proto je potenciálně velmi nebezpečná. Jakmile na ni přijdou útočníci, začnou provádět škodlivou činnost, aniž by byli odhalitelní, což vede k neočekávaným a destruktivním následkům.

"Exploit odhalila naše pokročilá technologie pro prevenci a následnou detekci. V posledních letech jsme do našich produktů postupně doplnili velké množství technologií pro ochranu před exploity, které detekovaly řadu zero-day zranitelností, což opakovaně dokazuje jejich vysokou účinnost. Hodláme i nadále zlepšovat ochranu našich uživatelů a zdokonalovat naše technologie včetně spolupráce s dodavateli z třetích stran na opravách zranitelných míst, čímž učiníme internet bezpečnějším místem pro všechny," říká Boris Larin, bezpečnostní expert společnosti Kaspersky.

Při analýze dřívějšího zneužití zero-day zranitelnosti CVE-2021-1732 našli odborníci ze společnosti Kaspersky další podobný útok a v únoru 2021 jej nahlásili společnosti Microsoft. Po potvrzení, že se skutečně jedná o zero-day zranitelnost, ji Microsoft označil jako CVE-2021-28310 a 13. 4. 2021 vydal bezpečnostní záplatu, která tento problém řeší.

Podle bezpečnostních analytiků je tato zranitelnost potenciálně zneužívána hned několika aktéry kybernetických hrozeb. Jde o exploit eskalace oprávnění (EoP), který se nachází v Desktop Window Manageru (dwm.exe - vytváří kompozici zobrazení oken spuštěných aplikací na displeji uživatele) a umožňuje útočníkům spustit na počítači oběti jakýkoli škodlivý kód.

Je pravděpodobné, že tento exploit pracuje společně s dalšími exploity napadající prohlížeče a vede k úniku dat ze sandboxů nebo umožňuje získání systémových oprávnění pro další přístup.

Počáteční analýza společnosti Kaspersky neodhalila celý řetězec infekcí, takže zatím nelze potvrdit, že tento exploit využívá i jiné zero-day zranitelnosti nebo další známé a již opravené chyby v zabezpečení.

Kaspersky produkty detekují tuto hrozbu pod názvy:

HEUR: Exploit.Win32.Generic
HEUR: Trojan.Win32.Generic
PDM: Exploit.Win32.Generic

Ochrana před zero-day útoky - Kaspersky doporučuje:

Poskytněte svému týmu SOC přístup k nejnovějším informacím o hrozbách (TI) - Kaspersky Threat Intelligence Portal obsahuje data a analýzy o kybernetických útocích, které společnost Kaspersky shromažďuje po dobu více než 20 let

Kromě zavedení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které v rané fázi detekuje pokročilé hrozby na úrovni sítě, jako je např. platforma Kaspersky Anti Targeted Attack Platform

Zranitelnost a možnosti správy oprav v řešení ochrany koncových bodů mohou významně zjednodušit úkol pro manažery zabezpečení IT

Co nejdříve si nainstalujte vydanou bezpečnostní záplatu, po jejím stažení už aktéři hrozeb nemohou tuto chybu zabezpečení zneužít

Pokud se chcete blíže seznámit s technologiemi, které detekovaly tuto a další zero-day zranitelnosti v operačním systému Microsoft Windows, můžete si vyžádat záznam online semináře společnosti Kaspersky - Three Windows zero-days in three months: how we found them in the wild.

Další články k tématům - analýza - exploit - kyberbezpečnost - Windows - zero-day - zranitelnost - Boris Larin

Článek KASPERSKY LAB CZECH REPUBLIC ze dne úterý 20. dubna 2021