Les utilisateurs de Windows sont à nouveau sensibles aux attaques de logiciels malveillants.
La vulnérabilité du pilote a maintenant augmenté
Comme nous déjà signalé, plus tôt ce mois-ci Eclypsium, une entreprise de cybersécurité, a révélé que la plupart des fabricants de matériel ont une faille qui permet aux logiciels malveillants d'obtenir les privilèges du noyau au niveau de l'utilisateur.
Vous recherchez les meilleurs outils antimalware pour bloquer les menaces sur Windows 10? Découvrez nos meilleurs choix dans cet article.
Cela signifie qu'il peut accéder directement au micrologiciel et au matériel.
Désormais, l'attaque Complete Control qui menaçait les fournisseurs de BIOS comme Intel et NVIDIA affecte toutes les versions plus récentes de Windows, y compris 7, 8, 8.1 et Windows 10.
Au moment de la découverte, Microsoft a déclaré que la menace n'est pas un réel danger pour son système d'exploitation et Windows Defender peut arrêter toute attaque basée sur la faille.
Mais le géant de la technologie a oublié de mentionner que seuls les derniers correctifs Windows offrent une protection. Ainsi, les utilisateurs de Windows qui ne sont pas à jour sont susceptibles d'être attaqués.
Pour lutter contre cela, Microsoft souhaite mettre sur liste noire tous les pilotes présentant la vulnérabilité via HVCI (Hypervisor-enforced Code Integrity), mais cela ne résoudra pas le problème pour tout le monde.
HVCI n'est pris en charge que sur les appareils exécutant 7e Processeurs Gen Intel ou plus récents. Encore une fois, les utilisateurs qui ont des pilotes plus anciens doivent désinstaller les pilotes concernés manuellement ou ils sont susceptibles de tomber en panne.
Protégez toujours vos données avec une solution antivirus. Consultez cet article pour trouver les meilleurs disponibles aujourd'hui.
Les pirates utilisent NanoCore RAT pour accéder à votre système
Maintenant, les attaquants ont trouvé des moyens d'exploiter la vulnérabilité et une version mise à jour de Le cheval de Troie d'accès à distance (RAT) appelé NanoCore RAT rôde.
Heureusement, les chercheurs en sécurité de LMNTRX Labs l'ont déjà traité et partagé comment vous pouvez détecter le RAT :
- T1064 – Script : Les scripts sont couramment utilisés par les administrateurs système pour effectuer des tâches de routine. Toute exécution anormale de programmes de script légitimes, tels que PowerShell ou Wscript, peut signaler un comportement suspect. La vérification des fichiers Office pour le code de macro peut également aider à identifier les scripts utilisés par les attaquants. Les processus Office, tels que winword.exe engendrant des instances de cmd.exe, ou des applications de script telles que wscript.exe et powershell.exe, peuvent indiquer une activité malveillante.
- T1060 - Clés d'exécution du registre / Dossier de démarrage : La surveillance du registre pour les modifications apportées aux clés d'exécution qui ne correspondent pas aux cycles de logiciels ou de correctifs connus et la surveillance du dossier de démarrage pour les ajouts ou les modifications peuvent aider à détecter les logiciels malveillants. Les programmes suspects s'exécutant au démarrage peuvent apparaître comme des processus aberrants qui n'ont jamais été vus auparavant par rapport aux données historiques. Des solutions telles que LMNTRIX Respond, qui surveille ces emplacements importants et déclenche des alertes pour tout changement ou ajout suspect, peuvent aider à détecter ces comportements.
- T1193 – Pièce jointe au harponnage : Les systèmes de détection d'intrusion dans le réseau, tels que LMNTRIX Detect, peuvent être utilisés pour détecter le spearphishing avec des pièces jointes malveillantes en transit. Dans le cas de LMNTRIX Detect, les chambres de détonation intégrées peuvent détecter les pièces jointes malveillantes en fonction du comportement plutôt que des signatures. Ceci est essentiel car la détection basée sur les signatures échoue souvent à protéger contre les attaquants qui modifient et mettent fréquemment à jour leurs charges utiles.
Assurez-vous de rester en sécurité en mettant à jour tous vos pilotes et votre Windows avec les dernières versions disponibles.
Si vous ne savez pas comment faire cela, nous avons préparé un guide cela vous aidera à mettre à jour les pilotes obsolètes.
LIRE AUSSI :
- La campagne de malware TrickBot est après vos mots de passe Office 365
- Microsoft avertit que la campagne de malware Astaroth est après vos informations d'identification
- Les pirates utilisent d'anciens logiciels malveillants dans un nouvel emballage pour attaquer les PC Windows 10