Эксперты по кибербезопасности обнаружили новый эксплойт, так называемого, нулевого дня для операционной системы Windows. В настоящий момент уязвимость, которая получила название CVE-2021-40449, может быть закрыта при помощи обновления от 12 октября 2021 года. Специалисты отмечают необходимость установки этого апдейта в кротчайшие сроки.
В конце лета 2021 года российские специалисты по информационной безопасности предотвратили серию атак с использованием эксплойта по повышению привилегий на нескольких серверах Microsoft Windows. Код этого эксплойта был похож на код к уже изученной уязвимости CVE-2016-3309, но более пристальный анализ показал, что это ранее неизвестный эксплойт нулевого дня.
Эксплойт нулевого дня — код или программа, написанные специально для использования уязвимости, о которой ещё не знает разработчик (и, соответственно, не существует способов её устранить).
Выявленная уязвимость использовалась совместно с новым зловредом, который получил название MysterySnail и использовался в масштабных кампаниях кибершпионажа против ИТ-компаний, оборонных предприятий, а также военных и дипломатических организаций. Исследователи предполагают, что за атаками стоит кибергруппа IronHusky, действующая как минимум с 2012 года.
«Последние несколько лет мы наблюдаем рост интереса злоумышленников к поиску и использованию уязвимостей нулевого дня. Эксплойты к ним могут представлять серьёзную угрозу для организаций. Но такие зловреды имеют схожие черты и принципы работы. Это помогает отражать их атаки, если отслеживать обновления аналитических данных об угрозах и устанавливать защитные решения, которые умеют проактивно выявлять ранее неизвестное вредоносное ПО», — комментирует Борис Ларин, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы защитить корпоративные сети и отдельных пользователей, эксперты рекомендуют:
- как можно скорее обновить OC Windows и делать это регулярно;
- использовать надёжные решения по защите корпоративной сети и отдельных компьютеров, которые содержат функции защиты от эксплойтов, технологии поведенческого анализа и компонент для отката действий, произведённых вредоносными программами в операционной системе;
- установить EDR-решение, чтобы своевременно обнаруживать сложные угрозы, проводить расследование и реагировать на инциденты, а также предоставить команде информационной безопасности доступ к самым актуальным данным об угрозах и регулярно проводить для неё тренинги;
- в случае, если возможности ИБ-отдела ограничены, использовать в дополнение к продуктам защиты рабочих устройств внешние сервисы безопасности.