r   e   k   l   a   m   a
r   e   k   l   a   m   a

Ofiary nowej Petyi same sobie winne – trzeba było przejść na Windows 10

Strona główna AktualnościBEZPIECZEŃSTWO

Microsoft przedstawił analizę ostatniego ataku ransomware, które z jakiegoś powodu nazywa się wciąż Petyą, mimo bardzo dużych różnic względem oryginalnej Petyi. Pomijając jednak kwestie nazewnictwa, raport stanowi dość dobry argument na rzecz tego, że najwyższy czas skończyć z Windowsem 7. Firma z Redmond chwali się bowiem, że żaden z wykorzystanych w ataku exploitów czy sposobów ominięcia zabezpieczeń nie działa na Windowsie 10.

Według przedstawionych przez Microsoft danych, ponad 70% infekcji tą nową Petyą dotyczyło terytorium Ukrainy. Łącznie zarażonych miało być ok. 20 tys. komputerów. Z jakiegoś powodu w raporcie w ogóle nie zauważono problemów polskich i rosyjskich firm, które na Ukrainie prowadziły interesy, a błyskawicznie się zaraziły, ale nie jest to istotne. Najważniejsze, że zdecydowana większość zarażonych tym zaawansowanym szkodnikiem komputerów działała pod kontrolą Windowsa 7.

Tak bowiem jak atak WannaCry, przeprowadzony z użyciem exploitu EternalBlue okazał się pogromem dla maszyn wciąż działających pod kontrolą Windowsa XP, tak nowa Petya pokazała, że praktycznie te same techniki pozwalają skutecznie zaatakować „siódemkę”.

r   e   k   l   a   m   a

Przypomnijmy: obok tego exploitu protokołu SMB (EternalBlue) wykorzystano też mechanizm aktualizacji popularnej aplikacji do rozliczeń podatkowych na Ukrainie, by następnie po wykradnięciu danych uwierzytelniających za pomocą mechanizmów PSEXEC/WMI instalować malware w sieci lokalnej nawet na w pełni zaktualizowanych systemach.

Dlaczego „dziesiątka” miałaby być na to odporna? Microsoft podkreśla, że każdy z wektorów ataku może być powstrzymany w Windows 10, bez żadnego dodatkowego oprogramowania zabezpieczającego. W szczególności:

  • Wprowadzone w Creators Update i Anniversary Update mechanizmy obronne takie jak KASLR (randomizacja przestrzeni adresowej kernela) oraz NX HAL i PAGE POOL (niewykonywalne obszary kernela) chronić mają przed exploitami SMB, takimi jak EternalBlue czy EternalRomance.
  • Po uaktywnieniu mechanizmu Device Guard można wymusić blokowanie uruchamiania aplikacji niezaufanych. To zablokowałoby nowej Petyi drogę wejścia przez aktualizację oprogramowania, jak również rozpowszechnianie się przez sieć lokalną poprzez instalację WMI. Device Guard aktywuje też dodatkowe zabezpieczenia, KCFG (ochronę kontroli przepływu kodu dla kernela) i HVCI (ochronę spójności kodu kernela), co chroni przed nowymi exploitami.
  • Jeśli komputer nie spełnia wymogów sprzętowych Device Guard, wciąż możliwe jest wykorzystanie App Lockera, który może zablokować określone programy czy niepodpisane biblioteki DLL.
  • Bazujące na wirtualizacji zabezpieczenie Credential Guard strzeże proces LSASS (Local Security Authority Subsystem Service), uniemożliwiając malware wykradnięcie danych uwierzytelniających, także danych domeny. Co prawda szkodnik wciąż mógłby przejąć tokeny dostępowe ujawnione w pamięci, ale zdaniem ekspertów Microsoftu to mniej efektywna metoda ataku, wymagająca zastosowania dodatkowych narzędzi.
  • UEFI Secure Boot, zabezpieczając proces rozruchowy oraz firmware komputera, blokuje szyfrowanie/niszczenie danych przez szkodnika po restarcie: wykrycie nienormalnego bootloadera uniemożliwi uruchomienie systemu, a co za tym idzie, utratę danych. Później zostaje już tylko naprawić bootloader za pomocą systemowych narzędzi Windowsa.

Z całym raportem możecie zapoznać się na blogu Windows Security – jest tam jeszcze sporo ciekawych spostrzeżeń dotyczących błędów popełnionych przez twórców nowej Petyi, oraz sposobów na możliwe w niektórych wypadkach odzyskanie danych. Można się spodziewać, że tego typu wypadki będą jeszcze nie raz wykorzystywane przez Microsoft do propagowania swojego najnowszego systemu, ewidetnie znacznie bezpieczniejszego od starych, wspieranych w minimalnym stopniu Windowsów.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.