Windows-gebruikers zijn opnieuw vatbaar voor malwareaanvallen.
De kwetsbaarheid van het stuurprogramma is nu geëscaleerd
Zoals we al meldden, onthulde Eclypsium, een cyberbeveiligingsbedrijf, eerder deze maand dat de meeste hardwarefabrikanten een fout hebben waardoor malware kernelprivileges kan krijgen op gebruikersniveau..
Op zoek naar de beste antimalwaretools om bedreigingen op Windows 10 te blokkeren? Bekijk onze beste keuzes in dit artikel.
Dit betekent dat het direct toegang kan krijgen tot firmware en hardware.
Nu heeft de Complete Control-aanval die BIOS-leveranciers zoals Intel en NVIDIA bedreigde, invloed op alle nieuwere versies van Windows, inclusief 7, 8, 8.1 en Windows 10.
Op het moment van de ontdekking verklaarde Microsoft dat de dreiging geen reëel gevaar vormt voor zijn besturingssysteem en dat Windows Defender elke aanval kan stoppen op basis van de fout.
Maar de techgigant vergat te vermelden dat alleen de nieuwste Windows-patches bescherming bieden. Windows-gebruikers die niet up-to-date zijn, zijn dus vatbaar voor aanvallen.
Om dat tegen te gaan, wil Microsoft alle stuurprogramma's die de kwetsbaarheid vertonen via HVCI (Hypervisor-enforced Code Integrity) op de zwarte lijst zetten, maar dit zal het probleem niet voor iedereen oplossen..
HVCI wordt alleen ondersteund op apparaten met 7th Gen Intel CPU's of nieuwer. Nogmaals, gebruikers met oudere stuurprogramma's moeten de getroffen stuurprogramma's handmatig verwijderen, anders zijn ze vatbaar voor de fout.
Bescherm uw gegevens altijd met een antivirusoplossing. Bekijk dit artikel om de beste te vinden die vandaag beschikbaar zijn.
Hackers gebruiken NanoCore RAT om toegang te krijgen tot uw systeem
Nu hebben aanvallers manieren gevonden om misbruik te maken van de kwetsbaarheid en een bijgewerkte versie van Remote Access Trojan (RAT) genaamd NanoCore RAT ligt op de loer..
Gelukkig hebben beveiligingsonderzoekers van LMNTRX Labs het al aangepakt en gedeeld hoe u de RAT kunt detecteren:
- T1064 - Scripting: Scripting wordt vaak gebruikt door systeembeheerders om routinetaken uit te voeren. Elke abnormale uitvoering van legitieme scriptprogramma's, zoals PowerShell of Wscript, kan verdacht gedrag signaleren. Het controleren van Office-bestanden op macrocode kan ook helpen bij het identificeren van scripts die door aanvallers worden gebruikt. Office-processen, zoals winword.exe die instances van cmd.exe voortbrengen, of scripttoepassingen zoals wscript.exe en powershell.exe, kunnen wijzen op kwaadaardige activiteiten.
- T1060 - Registersleutels / opstartmap: Het controleren van het register op wijzigingen om sleutels uit te voeren die niet correleren met bekende software of patchcycli, en het controleren van de startmap op toevoegingen of wijzigingen, kan helpen bij het detecteren van malware. Verdachte programma's die bij het opstarten worden uitgevoerd, kunnen verschijnen als uitbijterprocessen die nog niet eerder zijn gezien in vergelijking met historische gegevens. Oplossingen zoals LMNTRIX Respond, die deze belangrijke locaties bewaakt en waarschuwingen geeft voor elke verdachte wijziging of toevoeging, kunnen helpen bij het detecteren van dit gedrag.
- T1193 - Spearphishing-hulpstuk: Network Intrusion Detection-systemen, zoals LMNTRIX Detect, kunnen worden gebruikt om spearphishing met kwaadaardige bijlagen onderweg te detecteren. In het geval van LMNTRIX Detect kunnen ingebouwde detonatiekamers kwaadaardige bijlagen detecteren op basis van gedrag in plaats van handtekeningen. Dit is van cruciaal belang omdat op handtekeningen gebaseerde detectie vaak geen bescherming biedt tegen aanvallers die regelmatig hun payloads wijzigen en bijwerken.
Zorg ervoor dat u veilig blijft door al uw stuurprogramma's en uw Windows bij te werken naar de nieuwste beschikbare versie.
Als u niet weet hoe u dat moet doen, hebben we een handleiding opgesteld waarmee u verouderde stuurprogramma's kunt bijwerken.