Windows-användare är återigen mottagliga för attacker mot skadlig programvara.
Förarens sårbarhet har nu eskalerat
Som vi redan rapporterade avslöjade Eclypsium, ett cybersäkerhetsföretag, tidigare denna månad att de flesta hårdvarutillverkarna har en brist som gör att skadlig kod kan få kärnprivilegier på användarnivå.
Letar du efter de bästa antimalwarverktygen för att blockera hot på Windows 10? Kolla in våra bästa val i den här artikeln.
Detta innebär att den kan få direkt tillgång till firmware och hårdvara.
Nu påverkar Complete Control-attacken som hotade BIOS-leverantörer som Intel och NVIDIA alla nyare versioner av Windows inklusive 7, 8, 8.1 och Windows 10.
Vid tidpunkten för upptäckten uppgav Microsoft att hotet inte är en verklig fara för dess operativsystem och Windows Defender kan stoppa alla attacker baserat på felet..
Men teknikjätten glömde att nämna att endast de senaste Windows-patcharna erbjuder skydd. Så Windows-användare som inte är uppdaterade är mottagliga för attacker.
För att bekämpa det vill Microsoft svartlista alla drivrutiner som presenterar sårbarheten genom HVCI (Hypervisor-enforced Code Integrity), men detta löser inte problemet för alla.
HVCI stöds endast på enheter som kör 7th Gen Intel-processorer eller nyare. Återigen måste användare som har äldre drivrutiner avinstallera de drabbade drivrutinerna manuellt eller de är känsliga för felet.
Skydda alltid dina data med en antiviruslösning. Kolla in den här artikeln för att hitta de bästa tillgängliga idag.
Hackare använder NanoCore RAT för att få tillgång till ditt system
Nu har angripare hittat sätt att utnyttja sårbarheten och en uppdaterad version av Remote Access Trojan (RAT) som heter NanoCore RAT lurar runt.
Lyckligtvis har säkerhetsforskare vid LMNTRX Labs redan behandlat det och delat hur du kan upptäcka RAT:
- T1064 - Skript: Skript används ofta av systemadministratörer för att utföra rutinmässiga uppgifter. Varje avvikande körning av legitima skriptprogram, som PowerShell eller Wscript, kan signalera misstänkt beteende. Att kontrollera makrokod för kontorsfiler kan också hjälpa till att identifiera skript som används av angripare. Office-processer, till exempel winword.exe-lekinstanser av cmd.exe, eller skriptapplikationer som wscript.exe och powershell.exe, kan indikera skadlig aktivitet.
- T1060 - Registry Run Keys / Startup Folder: Övervakningsregistret för ändringar för att köra nycklar som inte korrelerar med känd programvara eller patchcykler och övervakning av startmappen för tillägg eller ändringar kan hjälpa till att upptäcka skadlig kod. Misstänkta program som körs vid start kan visa sig som avvikande processer som inte har sett tidigare jämfört med historisk data. Lösningar som LMNTRIX Respond, som övervakar dessa viktiga platser och väcker varningar för misstänkta ändringar eller tillägg, kan hjälpa till att upptäcka dessa beteenden.
- T1193 - Spearphishing-tillbehör: Nätverksintrångssystem för upptäckt, som LMNTRIX Detect, kan användas för att upptäcka spjutfiske med skadliga bilagor under transport. I fallet med LMNTRIX Detect kan inbyggda detonationskammare upptäcka skadliga bilagor baserat på beteende snarare än signaturer. Detta är viktigt eftersom signaturbaserad detektering ofta inte skyddar mot angripare som ofta ändrar och uppdaterar nyttolasten.
Se till att vara säker genom att uppdatera alla dina drivrutiner och dina Windows till de senaste tillgängliga.
Om du inte vet hur du gör det har vi utarbetat en guide som hjälper dig att uppdatera alla föråldrade drivrutiner.