Независимо от того, насколько надежна операционная система, она не может быть полностью лишена возможных угроз. Учитывая то, что кибер-преступники постоянно повышают свои навыки и знания, неудивительно, что они регулярно придумывают новые кибер-угрозы. Это непрерывный цикл, где любая задержка или ошибка может открывать новые точки входа для непрошеных гостей.

И если операционная система уязвима, значит и пользователи, использующие эту систему, также уязвимы. Если говорить о компаниях, то во многих случаях они доверяют свою корпоративную информационную безопасность какому-то одному программному решению по умолчанию, но опыт показывает, что этого недостаточно. И теперь этому есть еще больше доказательств. Более того, от этого может пострадать огромное количество пользователей и компаний во всем мире.

Уязвимости в Windows 10

Это именно то, что произошло с Windows 10. Несколько уязвимостей было обнаружено в этой новой версии самой широко используемой операционной системы в мире практически сразу с момента ее запуска. Но теперь прозвучал еще один звоночек. В данном случае уязвимость находится в ExploitGuard CFA File Creator – инструмент, который Windows предоставляет пользователям для отслеживания изменений, которые могут делать некоторые программы с файлами внутри определенных папок. Цель данного инструмента вполне понятна: он позволяет пользователям контролировать возможный нежелательный доступ и предотвращать потенциальные атаки со стороны ненадежных программ.

Но, говоря откровенно, результаты могли быть более продуктивными. Как продемонстрировал эксперт по информационной безопасности Соя Аояма, существует возможность вставить вредоносный DLL таким образом, что когда запускается Internet Explorer (который находится в белом списке надежных программ у CFA), то в защищаемые папки может быть вставлен шифровальщик. Т.е. данная кибер-атака использует определенное программное обеспечение, которое предположительно является безвредным (Internet Explorer), чтобы попасть в эти защищенные папки.

Во всей этой истории хуже всего то, что до текущего момента Windows Defender, который уже имел одну или две проблемы, не в состоянии обнаруживать эту проблему в данной системе. Но и это еще не все: когда Аояма обнаружил эту уязвимость, то разработчики не посчитали необходимым выпустить соответствующий патч, т.к. по их мнению, чтобы риск стал реальным, злоумышленник должен иметь несанкционированный доступ к системе до того, как он внедрит DLL.

Если применить все это к корпоративному окружению, то риски вполне очевидны. В момент, когда DLL попадает в защищенные папки сотрудника, она могла бы инициировать цепочку атак на оставшуюся часть компании, что привело бы к серьезной проблеме информационной безопасности данной компании.

Как избежать уязвимостей?

Если говорить про домашних пользователей, то здесь все предельно просто: регулярно обновляйте операционную систему и все используемые приложения, а также используйте антивирус с возможностью контроля защищенных папок (например, такие функции предоставляет антивирус Panda Dome, начиная с тарифного плана Advanced и выше).

Если же говорить про корпоративных пользователей, то вполне очевидно, что в свете этих рисков компании не могут целиком и полностью полагаться только на те инструменты безопасности, которые предоставляются самой операционной системой, - они должны разработать свои собственные меры предосторожности.

1. Кибер-устойчивость. 90% компании признались в том, что они не являются кибер-устойчивыми. А это именно то, что необходимо менять прямо сейчас. В условиях, когда атаки постоянно модифицируются и когда постоянно появляются новые стратегии и инструменты нападения, компании должны более активно защищать свою корпоративную информационную безопасность и периодически обновлять свои процессы и системы оповещения.

2 . Безопасность 360º. Иногда некоторые решения информационной безопасности фокусируются на обнаружении возможных уязвимостей в точках входа, при этом забывая про сами конечные устройства. С этой целью Panda Patch Management (дополнительный модуль для корпоративных решений безопасности Panda, включая и Panda Adaptive Defense 360), заботится о полном мониторинге возможных кибер-атак и нежелательного доступа: от обнаружения и планирования до установки и мониторинга патчей и обновлений. Более того, Panda Patch Management также обращает внимание и на сторонние приложения, которые могут стать инструментом для атаки на Windows 10, и предоставляет видимость работоспособности конечных устройств в реальном времени с точки зрения потенциальных уязвимостей, наличия патчей или ожидаемых обновлений, а также работы программ, у которых закончился «срок жизни» (EoL).

3. Проверьте CFA. Если устройство в вашей компании подверглось вторжению при использовании ExploitGuard CFA File Creator, стоит проверить его, особенно для того, чтобы выяснить, каким приложениям он предоставляет права доступа. В случае, если в его белом списке есть программы, которым вы не можете полностью доверять, их необходимо убрать из белого списка.

4. Обновления. С другой стороны, компании должны убедиться в том, что все их приложения имеют соответствующие обновления, т.к. 99,96% активных уязвимостей в корпоративных средах уже имеют соответствующие обновления, и если бы они были своевременно установлены, то они могли бы существенно снизить риски безопасности.