Windows-användare är återigen mottagliga för skadliga attacker.
Förarens sårbarhet har nu eskalerat
Som vi redan rapporterat, Tidigare den här månaden Eclypsium, ett cybersäkerhetsföretag, avslöjade att de flesta hårdvarutillverkarna har en brist som gör att skadlig kod kan få kärnprivilegier på användarnivå.
Letar du efter de bästa antimalwarverktygen för att blockera hot på Windows 10? Kolla in våra bästa val i den här artikeln.
Detta innebär att den kan få direkt tillgång till firmware och hårdvara.
Nu påverkar Complete Control-attacken som hotade BIOS-leverantörer som Intel och NVIDIA alla nyare versioner av Windows inklusive 7, 8, 8.1 och Windows 10.
Vid tidpunkten för upptäckten uppgav Microsoft att hotet inte är en verklig fara för dess operativsystem och Windows Defender kan stoppa alla attacker baserat på bristen.
Men teknikjätten glömde att nämna att endast de senaste Windows-patcharna erbjuder skydd. Så Windows-användare som inte är uppdaterade är känsliga för attacker.
För att bekämpa det vill Microsoft svartlista alla drivrutiner som presenterar sårbarheten igenom
HVCI (Hypervisor-enforced Code Integrity), men detta löser inte problemet för alla.HVCI stöds endast på enheter som kör 7th Gen Intel-processorer eller nyare. Återigen måste användare som har äldre drivrutiner avinstallera de drabbade drivrutinerna manuellt eller de är känsliga för felet.
Skydda alltid dina data med en antiviruslösning. Kolla in den här artikeln för att hitta de bästa tillgängliga idag.
Hackare använder NanoCore RAT för att få tillgång till ditt system
Nu har angripare hittat sätt att utnyttja sårbarheten och en uppdaterad version av Fjärråtkomst Trojan (RAT) som heter NanoCore RAT lurar runt.
Lyckligtvis, säkerhetsforskare vid LMNTRX Labs har redan behandlat det och delad hur du kan upptäcka RAT:
- T1064 - Skript: Skript används ofta av systemadministratörer för att utföra rutinuppgifter. Varje avvikande körning av legitima skriptprogram, som PowerShell eller Wscript, kan signalera misstänkt beteende. Att kontrollera makrokod för kontorsfiler kan också hjälpa till att identifiera skript som används av angripare. Office-processer, till exempel winword.exe-lekinstanser av cmd.exe, eller skriptapplikationer som wscript.exe och powershell.exe, kan indikera skadlig aktivitet.
- T1060 - Registry Run Keys / Startup Folder: Övervakningsregistret för ändringar för att köra nycklar som inte korrelerar med känd programvara eller patchcykler och övervakning av startmappen för tillägg eller ändringar kan hjälpa till att upptäcka skadlig kod. Misstänkta program som körs vid uppstart kan visas som avvikande processer som inte har sett tidigare jämfört med historisk data. Lösningar som LMNTRIX Respond, som övervakar dessa viktiga platser och väcker varningar för misstänkta ändringar eller tillägg, kan hjälpa till att upptäcka dessa beteenden.
- T1193 - Spearphishing-tillbehör: Nätverksintrångssystem för upptäckt, såsom LMNTRIX Detect, kan användas för att upptäcka spearphishing med skadliga bilagor under transport. I fallet med LMNTRIX Detect kan inbyggda detonationskammare upptäcka skadliga bilagor baserat på beteende snarare än signaturer. Detta är viktigt eftersom signaturbaserad detektering ofta inte skyddar mot angripare som ofta ändrar och uppdaterar nyttolasten.
Se till att vara säker genom att uppdatera alla dina drivrutiner och dina Windows till de senaste tillgängliga.
Om du inte vet hur du gör det har vi förberett oss en guide som hjälper dig att uppdatera alla föråldrade drivrutiner.
LÄS OCH:
- TrickBot-kampanj med skadlig programvara är efter dina Office 365-lösenord
- Microsoft varnar Astaroth malware kampanj är efter dina referenser
- Hackare använder gammal skadlig kod i nya förpackningar för att attackera Windows 10-datorer
