Windows-brugere er igen modtagelige for malwareangreb.
Førersårbarheden er nu eskaleret
Som vi allerede rapporterede, afslørede Eclypsium, et cybersikkerhedsfirma, tidligere på denne måned, at de fleste hardwareproducenter har en fejl, der gør det muligt for malware at få kernerettigheder på brugerniveau.
Leder du efter de bedste antimalwareværktøjer til at blokere trusler på Windows 10? Se vores bedste valg i denne artikel.
Dette betyder, at det kan få direkte adgang til firmware og hardware.
Nu påvirker Complete Control-angrebet, der truede BIOS-leverandører som Intel og NVIDIA, alle nyere versioner af Windows inklusive 7, 8, 8.1 og Windows 10.
I øjeblikket af opdagelsen erklærede Microsoft, at truslen ikke er en reel fare for dets operativsystem, og Windows Defender kan stoppe ethvert angreb baseret på fejlen..
Men teknologigiganten glemte at nævne, at kun de nyeste Windows-patches giver beskyttelse. Så Windows-brugere, der ikke er opdaterede, er modtagelige for angreb.
For at bekæmpe det ønsker Microsoft at sortliste alle drivere, der præsenterer sårbarheden gennem HVCI (Hypervisor-enforced Code Integrity), men dette løser ikke problemet for alle.
HVCI understøttes kun på enheder, der kører 7th Gen Intel CPU'er eller nyere. Igen skal brugere, der har ældre drivere, afinstallere de berørte drivere manuelt, ellers er de modtagelige for fejlen.
Beskyt altid dine data med en antivirusløsning. Tjek denne artikel for at finde de bedste tilgængelige i dag.
Hackere bruger NanoCore RAT for at få adgang til dit system
Nu har angribere fundet måder at udnytte sårbarheden på, og en opdateret version af Remote Access Trojan (RAT) kaldet NanoCore RAT lurer rundt.
Heldigvis har sikkerhedsforskere ved LMNTRX Labs allerede behandlet det og delt, hvordan du kan opdage RAT:
- T1064 - Scripting: Scripting bruges ofte af systemadministratorer til at udføre rutinemæssige opgaver. Enhver unormal udførelse af legitime script-programmer, såsom PowerShell eller Wscript, kan signalere mistænkelig adfærd. At kontrollere office-filer for makrokode kan også hjælpe med at identificere scripting, der bruges af angribere. Office-processer, såsom winword.exe gydeforekomster af cmd.exe eller script-applikationer som wscript.exe og powershell.exe, kan indikere ondsindet aktivitet.
- T1060 - Registry Run Keys / Startup Folder: Overvågningsregistret for ændringer til at køre nøgler, der ikke korrelerer med kendt software eller patchcyklus, og overvågning af startmappen for tilføjelser eller ændringer kan hjælpe med at opdage malware. Mistænkelige programmer, der udføres ved opstart, vises muligvis som outlier-processer, der ikke er set før sammenlignet med historiske data. Løsninger som LMNTRIX Respond, som overvåger disse vigtige placeringer og rejser alarmer for enhver mistænkelig ændring eller tilføjelse, kan hjælpe med at opdage denne adfærd.
- T1193 - Udstyr til spearphishing: Network Intrusion Detection-systemer, såsom LMNTRIX Detect, kan bruges til at opdage spearphishing med ondsindede vedhæftede filer i transit. I tilfældet med LMNTRIX Detect kan indbyggede detonationskamre detektere ondsindede vedhæftede filer baseret på adfærd snarere end signaturer. Dette er kritisk, da signaturbaseret detektion ofte ikke beskytter mod angribere, der ofte ændrer og opdaterer deres nyttelast.
Sørg for at være sikker ved at opdatere alle dine drivere og dine Windows til de nyeste tilgængelige.
Hvis du ikke ved, hvordan du gør det, har vi udarbejdet en guide, der hjælper dig med at opdatere forældede drivere.