Ofiary nowej Petyi same sobie winne – trzeba było przejść na Windows 10

Microsoft przedstawił analizę ostatniego ataku ransomware,które z jakiegoś powodu nazywa się wciąż Petyą, mimo bardzo dużych różnic względem oryginalnej Petyi. Pomijając jednak kwestie nazewnictwa, raport stanowi dość dobry argument na rzecz tego, żenajwyższy czas skończyć z Windowsem 7. Firma z Redmond chwali siębowiem, że żaden z wykorzystanych w ataku exploitów czy sposobówominięcia zabezpieczeń nie działa na Windowsie 10.

Według przedstawionych przez Microsoft danych, ponad 70% infekcjitą nową Petyą dotyczyło terytorium Ukrainy. Łącznie zarażonychmiało być ok. 20 tys. komputerów. Z jakiegoś powodu w raporcie wogóle nie zauważono problemów polskich i rosyjskich firm, którena Ukrainie prowadziły interesy, a błyskawicznie się zaraziły,ale nie jest to istotne. Najważniejsze, że zdecydowana większośćzarażonych tym zaawansowanym szkodnikiem komputerów działała podkontrolą Windowsa 7.

Tak bowiem jak atak WannaCry, przeprowadzony z użyciem exploituEternalBlue okazał się pogromem dla maszyn wciąż działającychpod kontrolą Windowsa XP, tak nowa Petya pokazała, że praktyczniete same techniki pozwalają skutecznie zaatakować „siódemkę”.

Przypomnijmy: obok tego exploitu protokołu SMB (EternalBlue)wykorzystano też mechanizm aktualizacji popularnej aplikacji dorozliczeń podatkowych na Ukrainie, by następnie po wykradnięciudanych uwierzytelniających za pomocą mechanizmów PSEXEC/WMIinstalować malware w sieci lokalnej nawet na w pełnizaktualizowanych systemach.

Dlaczego „dziesiątka” miałaby być na to odporna? Microsoftpodkreśla, że każdy z wektorów ataku może być powstrzymany wWindows 10, bez żadnego dodatkowego oprogramowaniazabezpieczającego. W szczególności:

• Wprowadzone w Creators Update i Anniversary Update mechanizmyobronne takie jak KASLR (randomizacja przestrzeni adresowej kernela)oraz NX HAL i PAGE POOL (niewykonywalne obszary kernela) chronićmają przed exploitami SMB, takimi jak EternalBlue czyEternalRomance.
• Po uaktywnieniu mechanizmu Device Guard można wymusić blokowanieuruchamiania aplikacji niezaufanych. To zablokowałoby nowej Petyidrogę wejścia przez aktualizację oprogramowania, jak równieżrozpowszechnianie się przez sieć lokalną poprzez instalację WMI.Device Guard aktywuje też dodatkowe zabezpieczenia, KCFG (ochronękontroli przepływu kodu dla kernela) i HVCI (ochronę spójnościkodu kernela), co chroni przed nowymi exploitami.
• Jeśli komputer nie spełnia wymogów sprzętowych Device Guard,wciąż możliwe jest wykorzystanie App Lockera, który możezablokować określone programy czy niepodpisane biblioteki DLL.
• Bazujące na wirtualizacji zabezpieczenie Credential Guard strzeżeproces LSASS (Local Security Authority Subsystem Service),uniemożliwiając malware wykradnięcie danych uwierzytelniających,także danych domeny. Co prawda szkodnik wciąż mógłby przejąćtokeny dostępowe ujawnione w pamięci, ale zdaniem ekspertówMicrosoftu to mniej efektywna metoda ataku, wymagająca zastosowaniadodatkowych narzędzi.
• UEFI Secure Boot, zabezpieczając proces rozruchowy oraz firmwarekomputera, blokuje szyfrowanie/niszczenie danych przez szkodnika porestarcie: wykrycie nienormalnego bootloadera uniemożliwiuruchomienie systemu, a co za tym idzie, utratę danych. Późniejzostaje już tylko naprawić bootloader za pomocą systemowychnarzędzi Windowsa.

Z całym raportem możecie zapoznać się na blogu WindowsSecurity – jest tam jeszcze sporo ciekawych spostrzeżeńdotyczących błędów popełnionych przez twórców nowej Petyi,oraz sposobów na możliwe w niektórych wypadkach odzyskanie danych.Można się spodziewać, że tego typu wypadki będą jeszcze nie razwykorzystywane przez Microsoft do propagowania swojego najnowszegosystemu, ewidetnie znacznie bezpieczniejszego od starych, wspieranychw minimalnym stopniu Windowsów.