Фахівці з кібербезпеки зафіксували активну експлуатацію раніше невідомої вразливості (zero-day) у програмному забезпеченні Microsoft Defender. Ця критична недоробка становить значну загрозу, оскільки дозволяє зловмисникам обійти стандартні механізми захисту та отримати несанкціонований доступ до конфіденційних даних та привілеїв у скомпрометованих системах.
Виявлена вразливість дозволяє атакувальникам виконати низку небезпечних дій:
- Доступ до бази даних SAM: Зловмисники можуть отримати несанкціонований доступ до бази даних Security Account Manager (SAM), яка зберігає локальні облікові записи користувачів та їхні хеші паролів.
- Викрадення хешів NTLM: Після доступу до SAM, атакувальники можуть видобути хеші NTLM (NT LAN Manager). Ці хеші можуть бути використані для атак типу Pass-the-Hash або для офлайн-зламу паролів, що дозволяє отримати доступ до інших систем у мережі.
- Отримання привілеїв System: Найбільш критичним наслідком є можливість підвищення привілеїв до рівня System. Це надає зловмисникам повний контроль над скомпрометованою системою, дозволяючи виконувати будь-які операції, встановлювати шкідливе програмне забезпечення, змінювати конфігурації та отримувати доступ до всіх даних.
Ця вразливість становить пряму загрозу для всіх організацій та приватних користувачів, які використовують операційні системи Windows та Microsoft Defender як основний засіб захисту. Особливо вразливими є:
- Корпоративні мережі, де Microsoft Defender широко використовується на робочих станціях та серверах.
- Урядові установи та об'єкти критичної інфраструктури, що обробляють конфіденційну інформацію.
- Будь-які системи, де компрометація облікових даних та підвищення привілеїв може призвести до значних фінансових втрат, витоку даних або порушення операційної діяльності.
Для мінімізації ризиків, пов'язаних з цією вразливістю, Cyber Index UA рекомендує:
- Негайне оновлення: Слідкуйте за офіційними повідомленнями Microsoft та негайно встановлюйте всі доступні оновлення безпеки та патчі для Microsoft Defender та операційної системи Windows.
- Моніторинг активності: Посильте моніторинг мережевої активності та журналів подій на предмет незвичайної поведінки, спроб доступу до SAM або підвищення привілеїв.
- Принцип найменших привілеїв: Забезпечте, щоб користувачі та програми працювали з мінімально необхідними привілеями.
- Надійні паролі: Застосовуйте складні та унікальні паролі для всіх облікових записів, а також використовуйте багатофакторну автентифікацію (MFA).
- Резервне копіювання: Регулярно створюйте резервні копії критичних даних для швидкого відновлення у випадку компрометації.