Месяц назад мы писали о том, что обнаружили эксплойт для уязвимости в Microsoft Windows. Не хотелось бы показаться однообразными, но наши проактивные технологии выявили еще один эксплойт нулевого дня, опять же, использующий неизвестную ранее уязвимость в операционной системе. На этот раз в зоне риска только Windows 7 и Windows Server 2008.
Но это не делает угрозу менее серьезной. Хотя базовая поддержка Windows Server 2008 прекратилась в январе 2015 года, а при выходе Windows 10 компания Microsoft предложила пользователям бесплатное обновление с «семерки», далеко не все пользователи перешли на новые системы. Разработчики по-прежнему предоставляют обновления безопасности и поддержку для обеих систем (и, если ничего не изменится, будут продолжать делать это до 14 января 2020 года): Windows 7 и Windows Server 2008 до сих пор установлены у достаточного количества клиентов.
Когда в конце октября наши эксперты обнаружили новый эксплойт, они сразу же сообщили Microsoft об уязвимости и предоставили PoC. 13 ноября разработчики выпустили исправление.
Что следует знать об уязвимости и ее эксплойте
Это уязвимость нулевого дня в драйвере win32k.sys, приводящая к несанкционированному повышению привилегий. Через нее злоумышленники могут получить права, необходимые для закрепления в системе жертвы.
Эксплойт использовался в нескольких APT-атаках, преимущественно на Ближнем Востоке. Отловленная нашими технологиями разновидность была нацелена только на 32-битную версию Windows 7. Технические данные можно найти в этой публикации на Securelist. Дополнительная информация об атаке доступна пользователям, подписанным на наши аналитические отчеты. Если вас интересуют подробности , вы можете связаться с экспертами, обратившись по адресу intelreports@kaspersky.com.
Как обезопасить себя
Ничего нового — только наши обычные рекомендации на случай уязвимостей:
- Немедленно установите патч Microsoft.
- Регулярно обновляйте до последних версий все ПО, используемое в вашей компании (особенно операционные системы).
- Подумайте о необходимости отказаться от устаревшего ПО до того, как закончится срок его поддержки.
- Используйте защитные продукты с функциями автоматического поиска уязвимостей и управления патчами, чтобы упростить процесс обновления.
- Пользуйтесь надежным защитным решением с технологиями поведенческого анализа. Так вы будете обеспечены эффективной защитой от новых угроз, в том числе от эксплойтов нулевого дня.
Кстати, обратите внимание: эта ранее неизвестная угроза вновь была обнаружена благодаря нашим проактивным технологиям — Advanced Sandboxing в платформе Kaspersky Anti Targeted Attack (решения, специально созданного для защиты от APT-угроз), а также технологии автоматической защиты от эксплойтов, работающей в Kaspersky Endpoint Security для бизнеса.