Gli utenti Windows sono ancora una volta suscettibili agli attacchi di malware.
La vulnerabilità del driver è ora aumentata
Come abbiamo già riportato, all'inizio di questo mese Eclypsium, una società di sicurezza informatica, ha rivelato che la maggior parte dei produttori di hardware ha un difetto che consente al malware di ottenere i privilegi del kernel a livello di utente.
Cerchi i migliori strumenti antimalware per bloccare le minacce su Windows 10? Dai un'occhiata alle nostre migliori scelte in questo articolo.
Ciò significa che può ottenere l'accesso diretto a firmware e hardware.
Ora, l'attacco di controllo completo che ha minacciato i fornitori di BIOS come Intel e NVIDIA colpisce tutte le versioni più recenti di Windows, inclusi 7, 8, 8.1 e Windows 10.
Al momento della scoperta, Microsoft ha dichiarato che la minaccia non rappresenta un pericolo reale per il suo sistema operativo e Windows Defender può bloccare qualsiasi attacco in base alla falla.
Ma il gigante della tecnologia ha dimenticato di dire che solo le ultime patch di Windows offrono protezione. Quindi, gli utenti Windows che non sono aggiornati sono suscettibili agli attacchi.
Per contrastare ciò, Microsoft vuole inserire nella lista nera tutti i driver che presentano la vulnerabilità tramite HVCI (Hypervisor-enforced Code Integrity), ma questo non risolverà il problema per tutti.
HVCI è supportato solo sui dispositivi che eseguono 7th CPU Intel di generazione o successive. Anche in questo caso, gli utenti che dispongono di driver meno recenti devono disinstallare manualmente i driver interessati o sono soggetti all'errore.
Proteggi sempre i tuoi dati con una soluzione antivirus. Dai un'occhiata a questo articolo per trovare i migliori disponibili oggi.
Gli hacker usano NanoCore RAT per ottenere l'accesso al tuo sistema
Ora, gli aggressori hanno trovato il modo di sfruttare la vulnerabilità e una versione aggiornata di Remote Access Trojan (RAT) chiamata NanoCore RAT è in agguato.
Fortunatamente, i ricercatori di sicurezza di LMNTRX Labs l'hanno già affrontato e hanno condiviso come rilevare il RAT:
- T1064 - Scripting: Lo scripting è comunemente utilizzato dagli amministratori di sistema per eseguire attività di routine. Qualsiasi esecuzione anomala di programmi di scripting legittimi, come PowerShell o Wscript, può segnalare un comportamento sospetto. Il controllo dei file di Office per il codice macro può anche aiutare a identificare gli script utilizzati dagli aggressori. I processi di Office, come winword.exe che genera istanze di cmd.exe o applicazioni script come wscript.exe e powershell.exe, possono indicare attività dannose.
- T1060 - Chiavi di esecuzione del registro / cartella di avvio: Il monitoraggio del Registro di sistema per le modifiche per eseguire le chiavi che non sono correlate al software noto o ai cicli di patch e il monitoraggio della cartella di avvio per aggiunte o modifiche possono aiutare a rilevare il malware. I programmi sospetti in esecuzione all'avvio possono apparire come processi anomali che non sono stati visti prima rispetto ai dati storici. Soluzioni come LMNTRIX Respond, che monitora queste posizioni importanti e genera avvisi per qualsiasi modifica o aggiunta sospetta, possono aiutare a rilevare questi comportamenti.
- T1193 - Attacco per spearphishing: I sistemi di rilevamento delle intrusioni di rete, come LMNTRIX Detect, possono essere utilizzati per rilevare lo spearphishing con allegati dannosi in transito. Nel caso di LMNTRIX Detect, le camere di detonazione integrate possono rilevare allegati dannosi in base al comportamento, piuttosto che alle firme. Questo è fondamentale in quanto il rilevamento basato sulla firma spesso non riesce a proteggere dagli aggressori che cambiano e aggiornano frequentemente i propri payload.
Assicurati di stare al sicuro aggiornando tutti i tuoi driver e il tuo Windows all'ultimo disponibile.
Se non sai come farlo, abbiamo preparato una guida che ti aiuterà ad aggiornare eventuali driver obsoleti.