"Kaspersky" automatizētās noteikšanas tehnoloģijas ir atradušas "Windows" nulles dienas ievainojamību.
Mūķis (exploit), kas izmantoja šo ievainojamību, ļāva uzbrucējiem iegūt augstākas privilēģijas uzbrukumam pakļautajās ierīcēs un izvairīties no pārlūka "Google Chrome" aizsardzības mehānismiem. Jaunatklātais mūķis tika izmantots ļaunprātīgā operācijā "WizardOpium".
Nulles dienas ievainojamības ir iepriekš nezināmas kļūdas programmatūrā. Ja noziedznieki tās atrod pirmie, viņi var ilgi rīkoties nepamanīti, nodarot nopietnu un negaidītu kaitējumu. Parasti drošības risinājumi nespēj ne pazīt sistēmas infekciju, ne aizsargāt lietotājus no vēl nepazīstamiem apdraudējumiem.
"Windows" jauno ievainojamību "Kaspersky" pētniekiem ļāva atklāt kāds nulles dienas mūķis. 2019. gada novembrī Kaspersky mūķu profilakses tehnoloģijai, kas ir iebūvēta lielākajā daļā uzņēmuma risinājumu, izdevās pamanīt nulles dienas mūķi pārlūkā "Google Chrome". Šis mūķis ļāva uzbrucējiem izpildīt patvaļīgu kodu upuru datoros. Turpinot pētīt šo operāciju, ko eksperti nodēvēja par "WizardOpium", tika konstatēta vēl viena ievainojamība — šoreiz operētājsistēmā "Windows".
Izrādījās, ka jaunatklātais nulles dienas privilēģiju paaugstināšanas mūķis ("CVE-2019-1458") bija iebūvēts iepriekš atrastajā "Google Chrome" mūķī. Tas tika izmantots, lai iegūtu augstākas privilēģijas inficētajā ierīcē, kā arī izvairītos no "Chrome" procesu izmēģināšanas vides — komponenta, kas ir izveidots, lai pasargātu pārlūku un upura datoru no ļaunprātīgiem uzbrukumiem.
Privilēģiju paaugstināšanas mūķa sīkāka analīze parādīja, ka ļaunprātīgi izmantotā ievainojamība pieder pie win32k.sys draivera. Ievainojamību var ļaunprātīgi izmantot jaunākajās, labotajās "Windows 7" versijās un pat dažos "Windows 10" būvējumos ("Windows 10" jaunās versijas nav skartas).
"Šāda veida uzbrukumam ir vajadzīgi milzīgi resursi, taču tas dod ievērojamas priekšrocības uzbrucējiem, un mēs redzam, ka viņi tās labprāt izmanto. Nulles dienas mūķu skaits reālajā vidē turpina augt, un šī tendence diez vai izzudīs. Organizācijām ir jābalstās uz jaunākajiem parocīgi pieejamajiem apdraudējumu izlūkdatiem un jāievieš aizsardzības tehnoloģijas, kas spēj proaktīvi atrast nezināmus apdraudējumus, piemēram, nulles dienas mūķus," komentē Kaspersky drošības eksperts Antons Ivanovs.
"Kaspersky" izstrādājumi nosaka šo mūķi ar verdiktu "PDM:Exploit.Win32.Generic".
Par ievainojamību tika ziņots "Microsoft", un tā labota 2019. gada 10. decembrī.