Windows-gebruikers zijn opnieuw vatbaar voor malware-aanvallen.
De kwetsbaarheid van het stuurprogramma is nu geëscaleerd
zoals wij al gemeld, eerder deze maand Eclypsium, een cyberbeveiligingsbedrijf, onthulde dat de meeste hardwarefabrikanten een fout hebben waardoor malware kernelprivileges op gebruikersniveau kan verkrijgen.
Op zoek naar de beste antimalware-tools om bedreigingen op Windows 10 te blokkeren? Bekijk onze beste keuzes in dit artikel.
Dit betekent dat het directe toegang kan krijgen tot firmware en hardware.
Nu heeft de aanval met volledige controle die BIOS-leveranciers zoals Intel en NVIDIA bedreigde, invloed op alle nieuwere versies van Windows, waaronder 7, 8, 8.1 en Windows 10.
Op het moment van de ontdekking verklaarde Microsoft dat de dreiging geen reëel gevaar is voor zijn besturingssysteem en Windows Defender kan elke aanval op basis van de fout stoppen.
Maar de techgigant vergat te vermelden dat alleen de nieuwste Windows-patches bescherming bieden. Windows-gebruikers die niet up-to-date zijn, zijn dus vatbaar voor aanvallen.
Om dat te bestrijden, wil Microsoft alle stuurprogramma's die de kwetsbaarheid presenteren op de zwarte lijst zetten via: HVCI (Hypervisor-enforced Code Integrity), maar dit lost het probleem niet voor iedereen op.
HVCI wordt alleen ondersteund op apparaten met 7dit Gen Intel CPU's of nieuwer. Nogmaals, gebruikers met oudere stuurprogramma's moeten de getroffen stuurprogramma's handmatig verwijderen, anders zijn ze vatbaar voor de fout.
Bescherm uw gegevens altijd met een antivirusoplossing. Bekijk dit artikel om de beste te vinden die vandaag beschikbaar zijn.
Hackers gebruiken NanoCore RAT om toegang te krijgen tot uw systeem
Nu hebben aanvallers manieren gevonden om de kwetsbaarheid te misbruiken en een bijgewerkte versie van Remote Access Trojan (RAT) genaamd NanoCore RAT ligt op de loer.
Gelukkig, beveiligingsonderzoekers van LMNTRX Labs hebben er al mee te maken gehad en gedeeld hoe u de RAT kunt detecteren:
- T1064 – Scripting: Scripting wordt vaak gebruikt door systeembeheerders om routinetaken uit te voeren. Elke afwijkende uitvoering van legitieme scriptprogramma's, zoals PowerShell of Wscript, kan verdacht gedrag signaleren. Het controleren van Office-bestanden op macrocode kan ook helpen bij het identificeren van scripts die door aanvallers worden gebruikt. Office-processen, zoals winword.exe-exemplaren van cmd.exe, of scripttoepassingen zoals wscript.exe en powershell.exe, kunnen wijzen op schadelijke activiteit.
- T1060 – Register-runsleutels / opstartmap: Het controleren van het register op wijzigingen om sleutels uit te voeren die niet correleren met bekende software of patchcycli, en het controleren van de startmap op toevoegingen of wijzigingen, kan helpen bij het detecteren van malware. Verdachte programma's die bij het opstarten worden uitgevoerd, kunnen worden weergegeven als uitbijterprocessen die nog niet eerder zijn gezien in vergelijking met historische gegevens. Oplossingen zoals LMNTRIX Respond, dat deze belangrijke locaties bewaakt en waarschuwt voor elke verdachte wijziging of toevoeging, kunnen helpen bij het detecteren van dit gedrag.
- T1193 – Spearphishing-bijlage: Network Intrusion Detection-systemen, zoals LMNTRIX Detect, kunnen worden gebruikt om spearphishing met kwaadaardige bijlagen tijdens het transport te detecteren. In het geval van LMNTRIX Detect kunnen ingebouwde detonatiekamers kwaadaardige bijlagen detecteren op basis van gedrag in plaats van handtekeningen. Dit is van cruciaal belang omdat op handtekeningen gebaseerde detectie vaak geen bescherming biedt tegen aanvallers die hun payloads vaak wijzigen en bijwerken.
Zorg ervoor dat u veilig blijft door al uw stuurprogramma's en uw Windows bij te werken naar de nieuwste beschikbare.
Als je niet weet hoe je dat moet doen, hebben we voorbereid een gids waarmee u eventuele verouderde stuurprogramma's kunt bijwerken.
LEES OOK:
- TrickBot-malwarecampagne zit achter uw Office 365-wachtwoorden aan
- Microsoft waarschuwt dat Astaroth-malwarecampagne achter uw inloggegevens aan zit
- Hackers gebruiken oude malware in nieuwe verpakking om Windows 10-pc's aan te vallen