Les utilisateurs de Windows sont à nouveau sensibles aux attaques de logiciels malveillants.
La vulnérabilité du pilote a maintenant augmenté
Comme nous l'avons déjà signalé, plus tôt ce mois-ci, Eclypsium, une entreprise de cybersécurité, a révélé que la plupart des fabricants de matériel présentaient une faille qui permet aux logiciels malveillants d'obtenir des privilèges de noyau au niveau de l'utilisateur..
Vous recherchez les meilleurs outils anti-programme malveillant pour bloquer les menaces sur Windows 10? Découvrez nos meilleurs choix dans cet article.
Cela signifie qu'il peut accéder directement au firmware et au matériel.
Désormais, l'attaque de contrôle complet qui menaçait les fournisseurs de BIOS comme Intel et NVIDIA affecte toutes les versions plus récentes de Windows, y compris 7, 8, 8.1 et Windows 10.
Au moment de la découverte, Microsoft a déclaré que la menace n'est pas un réel danger pour son système d'exploitation et que Windows Defender peut arrêter toute attaque basée sur la faille..
Mais le géant de la technologie a oublié de mentionner que seuls les derniers correctifs Windows offrent une protection. Ainsi, les utilisateurs Windows qui ne sont pas à jour sont vulnérables aux attaques.
Pour lutter contre cela, Microsoft souhaite mettre sur liste noire tous les pilotes qui présentent la vulnérabilité via HVCI (Hypervisor-enforced Code Integrity), mais cela ne résoudra pas le problème pour tout le monde..
HVCI n'est pris en charge que sur les appareils exécutant 7e Processeurs Intel de génération ou plus récents. Encore une fois, les utilisateurs qui ont des pilotes plus anciens doivent désinstaller les pilotes concernés manuellement ou ils sont susceptibles de l'erreur.
Protégez toujours vos données avec une solution antivirus. Consultez cet article pour trouver les meilleurs disponibles aujourd'hui.
Les pirates utilisent NanoCore RAT pour accéder à votre système
Maintenant, les attaquants ont trouvé des moyens d'exploiter la vulnérabilité et une version mise à jour du cheval de Troie d'accès à distance (RAT) appelée NanoCore RAT se cache..
Heureusement, les chercheurs en sécurité de LMNTRX Labs l'ont déjà traité et ont partagé comment vous pouvez détecter le RAT:
- T1064 - Script: Les scripts sont couramment utilisés par les administrateurs système pour effectuer des tâches de routine. Toute exécution anormale de programmes de script légitimes, tels que PowerShell ou Wscript, peut signaler un comportement suspect. La vérification des fichiers Office pour le code de macro peut également aider à identifier les scripts utilisés par les attaquants. Les processus Office, tels que winword.exe générant des instances de cmd.exe ou des applications de script telles que wscript.exe et powershell.exe, peuvent indiquer une activité malveillante.
- T1060 - Clés d'exécution du registre / dossier de démarrage: Surveiller le registre à la recherche de modifications pour exécuter des clés qui ne correspondent pas aux logiciels connus ou aux cycles de correctifs, et surveiller le dossier de départ pour les ajouts ou les modifications, peut aider à détecter les logiciels malveillants. Les programmes suspects s'exécutant au démarrage peuvent apparaître comme des processus aberrants qui n'ont jamais été vus auparavant par rapport aux données historiques. Des solutions telles que LMNTRIX Respond, qui surveille ces emplacements importants et émet des alertes pour tout changement ou ajout suspect, peuvent aider à détecter ces comportements..
- T1193 - Accessoire de harponnage: Les systèmes de détection d'intrusion réseau, tels que LMNTRIX Detect, peuvent être utilisés pour détecter le spearphishing avec des pièces jointes malveillantes en transit. Dans le cas de LMNTRIX Detect, les chambres de détonation intégrées peuvent détecter les pièces jointes malveillantes en fonction du comportement plutôt que des signatures. Ceci est essentiel car la détection basée sur les signatures échoue souvent à protéger contre les attaquants qui changent et mettent fréquemment à jour leurs charges utiles.
Assurez-vous de rester en sécurité en mettant à jour tous vos pilotes et votre Windows avec la dernière version disponible.
Si vous ne savez pas comment faire cela, nous avons préparé un guide qui vous aidera à mettre à jour les pilotes obsolètes..