Η Technologie Automatische Exploit-Prävention von Kaspersky Lab - das in die meisten Sicherheitslösungen des Unternehmens für Terminals integriert ist - hat eine Reihe gezielter digitaler Angriffe erkannt. Die Angriffe wurden von einer neuen Malware versucht, die eine weit verbreitete Zero-Day-Sicherheitslücke im Betriebssystem ausnutzte Microsoft Windows 10. Die Absicht der Cyberkriminellen war es, sich vollen Zugang zu den Systemen der Opfer im Nahen Osten zu verschaffen. Diese Sicherheitsanfälligkeit wurde am 9. Oktober von Microsoft behoben.
Ein Zero-Day-Angriff ist eine der gefährlichsten Formen von Cyber-Bedrohungen, da er das Ausnutzen einer noch nicht entdeckten und identifizierten Schwachstelle beinhaltet. Wird eine Zero-Day-Schwachstelle von einem Bedrohungsagenten entdeckt, kann ein Exploit erstellt werden, der Zugriff auf das gesamte Computersystem des Unternehmens und der Branche des Angreifers ermöglicht. Diese Angriffsform ist bei fortgeschrittenen ART-Angriffsagenten weit verbreitet und wurde auch in diesem Fall eingesetzt.
Der Exploit, der in Microsoft Windows-Software entdeckt wurde, erreichte die Opfer über eine PowerShell-Hintertür. Der Exploit wurde dann ausgeführt, damit der Absender die erforderlichen Berechtigungen erhält, um in den Systemen der Opfer präsent zu sein. Der Schadcode war von hoher Qualität und so geschrieben, dass er den effizienten Betrieb möglichst vieler verschiedener Windows ermöglicht.
Digitale Angriffe zielten im vergangenen Sommer auf weniger als ein Dutzend prominenter Organisationen im Nahen Osten ab. Das Team hinter dem Angriff soll FruityArmor sein – da die PowerShell-Hintertür in der Vergangenheit ausschließlich von diesem Team verwendet wurde. Unmittelbar nach der Entdeckung meldeten Experten von Kaspersky Lab die Sicherheitslücke umgehend an Microsoft.
Produkte von Kaspersky Lab haben diesen Exploit prophylaktisch mit den folgenden Technologien erkannt:
- Über Kaspersky Lab Behavior Detection Engine und Auto Prevention Spread Tools, die für alle Sicherheitsprodukte des Unternehmens verfügbar sind.
- Über Advanced Sandboxing und den Antimalware-Mechanismus, der auf der Kaspersky Anti Targeted Attack-Plattform verfügbar ist.
Wie gesagt von Anton Ivanov, Sicherheitsspezialist von Kaspersky Lab,
„Wenn es um Zero-Day-Schwachstellen geht, ist es wichtig, die Bedrohungslandschaft aktiv auf neue Exploits hin zu überwachen. Bei Kaspersky Lab hilft uns die ständige Suche nach intelligenten Bedrohungen nicht nur dabei, neue Angriffe zu finden, sondern auch verschiedene digitale Bedrohungen ins Visier zu nehmen. Wir wollen auch herausfinden, welche bösartigen Technologien diese Kriminellen verwenden. "Als Ergebnis unserer Forschung verfügen wir über ein leistungsstarkes technologisches Erkennungstool, mit dem wir Angriffe verhindern können - wie die, mit denen diese Schwachstelle ausgenutzt werden sollte."
Um Zero-Day-Exploits zu vermeiden, empfiehlt Kaspersky Lab die folgenden technischen Maßnahmen:
- Vermeiden Sie die Verwendung von Software, die bekanntermaßen anfällig ist oder die kürzlich für digitale Angriffe verwendet wurde.
- Stellen Sie sicher, dass die von Ihrem Unternehmen verwendete Software regelmäßig auf die neuesten Versionen aktualisiert wird. Sicherheitsprodukte mit Schwachstellenbewertungs- und Patch-Management-Funktionen können dabei helfen, diese Prozesse zu automatisieren.
- Verwenden Sie eine leistungsstarke Sicherheitslösung wie Kaspersky Endpoint Security for Business, die mit verhaltensbasierten Erkennungsfunktionen ausgestattet ist, um einen wirksamen Schutz vor bekannten und unbekannten Bedrohungen, einschließlich Expoits, zu bieten.