Эксплуатация этой уязвимости позволяет атакующему получить полный контроль над системой жертвы. Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.
12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.
Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:
Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.
Эксплойт можно адаптировать для использования в качестве плагина к распространенному ПО для проведения тестов на проникновение Metaspoit Framework или Cobalt Strike. В таком случае злоумышленнику, который будет использовать доступный публично плагин, не нужно обладать специальными знаниями: за счет автоматизации сложность атаки существенно снижается. Достаточно лишь отправить по почте фишинговое письмо с прикрепленным вредоносным документом, название которого заинтересует получателя. Когда жертва откроет документ, атакующий получит доступ к системе.
Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.
Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.
Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).
Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.
12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.
Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:
- перехватывать учетные данные от различных сайтов и сервисов, в том числе интернет-банка и систем ДБО;
- развивать атаку внутрь организации для получения полного контроля над ее сетевой инфраструктурой;
- шифровать данные на атакованном узле и требовать выкуп;
- использовать узел как промежуточный при атаках на другие компании, для того чтобы скрыть свои следы и усложнить расследование.
Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.
Злоумышленник получает возможность удаленно управлять компьютером после открытия на нем документа
Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.
Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.
Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).
Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.
Комментариев нет:
Отправить комментарий