Sau thông tin sửa lỗi phần mềm được Microsoft công bố vào ngày 11/10 vừa qua, Kaspersky Lab cũng đã khái quát về lỗ hổng được FruityArmor sử dụng: zero-day CVE-2016-3393, giúp kẻ tấn công thực hiện cài mã độc vào máy nạn nhân từ xa. Đây là lỗ hổng thứ 4 được Kaspersky Lab phát hiện trong năm nay. Điểm bất thường chính là nền tảng tấn công của nó được viết trên PowerShell – tiện ích dòng lệnh và ngôn ngữ lập trình của Windows.

Theo Kaspersky Lab, khi đã xâm nhập vào máy tính, mối đe dọa dựa vào lỗ hổng trên trình duyệt để cài mã độc. Tuy nhiên, vì nhiều trình duyệt được viết bằng sandbox – tính năng được dung để cài đặt riêng các ứng dụng mới – nên lỗ hổng trên trình duyệt không đủ để đáp ứng yêu cầu của kẻ tấn công. Do đó, FruityArmor sử dụng thêm lỗ hổng EoP (elevation of privilege) để có thể tách ra khỏi sandbox: CVE-2016-3393.

Sau khi khai thác lỗ hổng thành công, giai đoạn kế tiếp sẽ thực hiện cấp độ đặc quyền cao hơn là chạy PowerShell với dòng lệnh Meterpreter được kết nối đến máy chủ C&C của mối đe dọa này. Lúc này, phần mềm độc hại đã sẵn sàng nhận lệnh và tải xuống những module phụ.

Kaspersky Lab thong tin ve lo hong zero-day tren Windows bi APT Fruityarmor khai thac - Anh 1

Sản phẩm của Kaspersky Lab phát hiện lỗ hổng CVE-2016-3393 với tên: HEUR:Exploit.Win32.Generic và PDM:Exploit.Win32.Generic.

Việc khai thác đã được module Automatic Exploit Prevention phát hiện, được cập nhật liên tục và được tìm thấy trong tất cả các giải pháp bảo mật hàng đầu của Kaspersky Lab cho Windows.

Kaspersky Lab thong tin ve lo hong zero-day tren Windows bi APT Fruityarmor khai thac - Anh 2

Các module được tạo ra để đối phó với các phần mềm độc hại khai thác lỗ hổng phần mềm - bao gồm các lỗ hổng zero-day - và có chứa các công nghệ mới nhất để phát hiện các mối đe dọa tiên tiến. Module giám sát các ứng dụng khác nhau, bao gồm các ứng dụng thường xuyên bị nhắm tới, và chạy kiểm tra bổ sung trong trường hợp có bất kỳ hoạt động đáng ngờ nào xảy ra.

Dịp này, Kaspersky Lab cho biết, SaaS ngày càng được doanh nghiệp vừa và nhỏ tin tưởng. Cụ thể, Kaspersky Lab và B2B International thực hiện nghiên cứu toàn cầu với 4.385 giám đốc kinh doanh tại 25 quốc gia và công bố Báo cáo “Vai trò của SaaS và Outsource CNTT trong bảo mật CNTT cho doanh nghiệp vừa và nhỏ”, tiết lộ những mối đe dọa mà các doanh nghiệp này phải đối mặt trước những thách thức bảo mật ngày một phức tạp hơn.

55% doanh nghiệp vừa và nhỏ lo ngại về các xu hướng như lựa chọn cách thức BYOD khiến việc quản lý bảo mật trở nên khó khăn hơn, và 49% thừa nhận cảm thấy dễ bị tấn công bởi những sự cố làm ảnh hưởng đến dịch vụ đám mây từ bên thứ ba.

Để ứng phó với các mối đe dọa mới, các doanh nghiệp vừa và nhỏ đang tìm cách để nâng cao bảo vệ. Tuy nhiên, một nửa số các doanh nghiệp này (50%) không muốn bỏ ra ngân sách để thuê thêm nhân viên bảo mật CNTT.

Kaspersky Lab thong tin ve lo hong zero-day tren Windows bi APT Fruityarmor khai thac - Anh 3

SaaS

Với những doanh nghiệp này, Security as a Service (SaaS) chính là giải pháp, với 40% doanh nghiệp tin tưởng bên thứ ba trong việc outsource hệ thống và quy trình CNTT. Có thể thấy ưu tiên bảo mật đám mây và outsource quy trình kinh doanh vẫn tốt hơn nhờ hiệu quả của việc tư vấn bảo mật (62%) và MSPs (59%). 17% doanh nghiệp không có kể hoạch sử dụng dịch vụ thuê ngoài bảo mật CNTT nhưng 23% nhận thấy điều này sẽ thay đổi trong vòng 12 tháng tới.

Kaspersky Endpoint Security Cloud giúp doanh nghiệp tận dụng công nghệ một cách dễ dàng và trực quan thông qua quản lí quy trình bảo mật CNTT dựa trên điện toán đám mây.

HD