Jako zero day exploit se označuje útok, který využívá zranitelnost systému počítače, která ještě není známá, a tudíž na ni neexistuje bezpečností oprava od vývojáře.

O chybě jsme informovali bezpečnostní centrum společnosti Microsoft, které již vydalo aktualizaci systému s opravou. Spuštěním běžné aplikace dokázali útočníci získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení.

Zranitelné jsou systémy Windows 7 a starší

Zmíněná zranitelnost se týká jen starších verzí systému Windows bez patřičné záplaty win32k.sys. Ve Windows 8 a novějších již existuje bezpečnostní mechanismus, který zamezuje uživatelskému procesu alokovat tzv. NULL paměťovou stránku.

Právě takováto alokace umožní útok provést. Prostředkem pro provedení útoku jsou API funkce Windows sloužící pro vytváření a práci s kontextovými nabídkami (pop-up menu).

Jakých verzí operačního systému se zranitelnost týká?

Zranitelnost s označením CVE-2019-1132 ovlivňuje následující verze operačních systémů společnosti Microsoft:

• Windows 7 32-bit Systems Service Pack 1,
• Windows 7 x64-Based Systems Service Pack 1,
• Windows Server 2008 32-bit Systems Service Pack 2,
• Windows Server 2008 Itanium-Based Systems Service Pack 2,
• Windows Server 2008 x64-Based Systems Service Pack 2,
• Windows Server 2008 R2 Itanium-Based Systems Service Pack 1,
• Windows Server 2008 R2 x64-Based Systems Service Pack 1.

Ohroženy jsou také Windows XP a Windows Server 2003, tyto verze již ale nejsou společností Microsoft podporovány.

Naše experti doporučují uživatelům, kteří využívají Windows 7 Service Pack 1, aktualizovat systém na novější verzi. Mimo jiné proto, že Microsoft ukončí 14. ledna 2020 podporu tohoto systému a přestane tak vydávat bezpečnostní aktualizace.

Bližší technické informace naleznete v článku na WeLiveSecurity.com.

„Stegano je zákeřný v tom, že k nákaze počítače může postačit, aby uživatel navštívil webovou stránku, kde se vyskytuje škodlivá reklama. Nemusí dojít k žádné interakci, kliknutí na banner nebo k aktivnímu stahování obsahu,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. Mezi napadenými stránkami, které šíří tento malware, je několik známých a hojně navštěvovaných zpravodajských webů.

Útočníci pro infiltraci do napadených zařízení využívají zranitelnost pro prohlížeč Internet Explorer a známé zranitelnosti v přehrávači Flash Player. Díky těmto chybám se poté pokouší vzdáleně do napadených zařízení stahovat a spouštět různé druhy malware. „Jsou mezi nimi bankovní trojany, tzv. backdoory nebo spyware,“ varuje Miroslav Dvořák.

Útočníkům se podařilo obejít opatření, která mají odhalit a blokovat škodlivý obsah v online reklamních systémech, čímž ohrozili miliony čtenářů populárních zpravodajských webů. „Škodlivé verze reklamy se navíc zobrazují pouze určité skupině uživatelů se zranitelnou konfigurací systému,“ vysvětluje Dvořák.

Uživatelé s pravidelně aktualizovaným operačním systémem, aplikacemi a kvalitním bezpečnostním software by neměli být útokem exploit kitu Stegano ohroženi.

Názornou ukázku toho, jak exploit funguje a jak se proti němu bránit si můžete prohlédnout v našem novém videu. Máte nějaké otázky? Napište nám do komentářů.

Video obsahuje české titulky. Zapnete je v pravém dolním rohu.

Co to vlastně exploit je?

Zajímavá je obecná definice (Wikipedia): „Exploit je program nebo nějaký kód, který dokáže profitovat z nějaké bezpečnostní díry (zranitelnosti) v aplikaci nebo systému tak, aby z něj měl útočník nějaký přínos“. Jak to ale převést do běžné lidské řeči? V podstatě se jedná o chyby v programech (úmyslné nebo chyby z nedbalosti), které slouží jako tajný přístup do programu. Pokud to převedeme do reálného života, pak si můžeme představit, že například visací zámek (systém či aplikace) má konstrukční chybu, která umožňuje lidem vytvořit klíče k jejich otevření (zneužití), a získat tak přístup k chráněnému místu, kde lze páchat trestnou činnost (malware/škodlivý kód).

Z podstaty exploitů je můžeme rozdělit na dvě základní skupiny. Exploity které známe, a exploity které neznáme. Známými označujeme takové, se kterými jsme se setkali. O takových se právě píšou články, hovoří se o nich v médiích. Proti takovým je samozřejmě obrana jednodušší, protože víme, jak se chovají, a jakou zranitelnost využívají.

Větší hrozbou jsou neznámé exploity, tzv. zranitelnosti nultého dne (0-day exploit). Jedná se o exploity, které využívají dosud neznámé bezpečnostní díry. Takové bezpečnostní díry představují vysoké riziko, protože proti nim prakticky neexistuje obrana. I tak se mohou ve velkém zneužívat, do počítačů s takovou zranitelností instalovat škodlivý kód, spouštět programy (i ty, které nejsou bezpečné), zapojit počítač do botnetu atd.

Obrana proti zneužití bezpečnostních děr není jednoduchá. Nelze je detekovat jako malware (škodlivý kód), proto pro firmy a jednotlivce představují velké riziko. Přesto lze minimalizovat riziko tím, že budeme pravidelně aktualizovat operační systémy, internetové prohlížeče, čtečky PDF, ale i doplňky, na které se útočí nejvíc – Java a Flash. ESET produkty využívají technologii Exploit blocker, který pomáhá takovým zneužitím předcházet. Monitoruje chování aplikací, a pokud vyhodnotí, že se jedná o pokus o exploitaci (zneužití bezpečnostní díry), proces zablokuje. Tato technologie je známá z domácích produktů v7 a v8(2014), nyní je součástí nových verzí pro ochranu firemního prostředí.