Nový zero-day exploit MysterySnail napadá servery s Microsoft Windows

Technologie Kaspersky analyzovaly sérii exploit útoků ke zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost CVE-2016-3309, bližší analýza však ukázala, že se jedná o nový zero-day exploit.

"V posledních několika letech pozorujeme soustavný zájem útočníků o hledání a zneužívání nových zero-day zranitelností. Zranitelnosti, které výrobci dosud neznají, můžou představovat vážnou hrozbu pro všechny organizace. Většina takových exploitů však sdílí podobné chování. Proto je důležité spoléhat se na nejnovější informace o hrozbách a instalovat bezpečnostní řešení, která proaktivně vyhledávají dosud neznámé hrozby," říká Boris Larin, bezpečnostní expert z globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.

Jako zero-day zranitelnost je označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dřív, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky můžou být mimořádně úspěšné.

Zjištěná podobnost kódu a způsobu použití infrastruktury C&C serverů vedly výzkumníky Kaspersky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012.

Analýzou dat přenášených malwarem použitým k šíření exploitu výzkumníci společnosti Kaspersky zjistili, že varianty tohoto malwaru se používaly v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům.

Nově zjištěná zranitelnost byla nahlášena společnosti Microsoft a ten ji opravil 12. 10. 2021 v rámci říjnového záplatovacího úterý.

Produkty společnosti Kaspersky nyní tento exploit detekují a chrání IT systémy před zneužitím výš uvedené zranitelnosti a souvisejícími moduly malwaru.

Jak se chránit před zero-day zranitelností:

Nainstalujte řešení k potlačení pokročilých perzistentních hrozeb (APT) a ochranu koncových bodů (EDR), která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů + zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení - vše je k dispozici v rámci Kaspersky Expert Security

Společně se správnou ochranou koncových bodů můžou proti útokům na vysoce postavené cíle pomoct také specializované služby - např. nástroj Kaspersky Managed Detection and Response dokáže identifikovat a zastavit útoky už v jejich rané fázi, než útočníci dosáhnou zamýšlených cílů

Používejte spolehlivé řešení zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business, které je vybaveno prevencí zneužití, detekcí chování a nápravným mechanismem, který dokáže zrušit změny způsobené záškodnickými akcemi