A biztonsági rést október elején publikálták, rá néhány napra egy hazai blogon is megjelent a hír, és ezután mindössze két hét kellett ahhoz, hogy a nyilvános sérülékenységre írt kártevő felbukkanjon. Ez az új típusú fenyegetés a Windows alkalmazásai közötti adatcserét lebonyolító Dynamic Data Exchange (DDE) protokollt használja. A DDE protokoll üzeneteket közvetít azon alkalmazások között, melyek adatokat osztanak meg, illetve a közös memóriát használják az adatok megosztására.
Forrás: Shutterstock
Az alkalmazások ezt a protokollt egyszeri adatátadásra és folyamatos adatcserére is használhatják, amikor az alkalmazások frissítést küldenek egymásnak új adatok érkezésekor – derül ki a Panda Security elemzéséből. Az informatikai biztonsági cég közlése szerint ez az adatcsere úgy indul, hogy az adatot kérő alkalmazás elindítja az információt szolgáltató alkalmazást. Ezt a lehetőséget használja ki ez az új kártevő, mely e-mail-csatolmányként érkezik, és miután nem makrókkal történik az alkalmazás elindítása, ki tudja kerülni a makrókat tartalmazó csatolmányokat szűrő rendszereket, ezért nagy valószínűséggel meg is érkezik a postafiókba.
A kártevő lefuttatásához így is szükséges felhasználói beavatkozás, azonban a Windows megnyíló párbeszédablaka nem figyelmeztetés, csak egy ártatlan kérdésnek tűnik. Arra kérdez rá, hogy a csatolt dokumentumban található mezőket frissítheti-e külső forrásból. Ha erre a felhasználó igennel válaszol, a fertőzés megtörténik.
Az ilyen incidenseket, amikor egy frissen publikált és még ki nem javított sérülékenységet használ ki egy kártevő, az informatikai biztonsági szakma nulladik napi támadásnak hívja. Védekezni ellene hagyományos, feketelistás szűrésen alapuló vírusirtó szoftverekkel nem lehet, hiszen éppen ezek megelőzése a kártevő célja. A megoldást a szoftverek viselkedését folyamatosan megfigyelő és osztályozó, adaptív rendszerek jelentik. Az új generációs támadások ellen új védelmi technológiákkal lehet hatékonyan védekezni.
Az előrejelzések szerint egyre több cég használ EDR (Endpoint Detection and Response) kiegészítő védelmi technológiát, mert a napjainkban egyre terjedő, hatalmas károkat okozó új típusú kártevők (zsarolóvírusok, nulladik napi támadások) ellen szinte lehetetlen ezen technológia nélkül védekezni. Általánosságban azonban elmondható, hogy a piac lassabban reagál, mint amilyen gyorsan a legjobb megoldások kijönnek, így sokan még mindig nem a megfelelő megoldást választják adataik védelmére.
