Как защититься от вредоносного ПО, эксплуатирующего уязвимость Windows CVE-2017-8759

Эксплуатация этой уязвимости позволяет атакующему получить полный контроль над системой жертвы. Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.

12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.

Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:

• перехватывать учетные данные от различных сайтов и сервисов, в том числе интернет-банка и систем ДБО;
• развивать атаку внутрь организации для получения полного контроля над ее сетевой инфраструктурой;
• шифровать данные на атакованном узле и требовать выкуп;
• использовать узел как промежуточный при атаках на другие компании, для того чтобы скрыть свои следы и усложнить расследование. 

Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.

Злоумышленник получает возможность удаленно управлять компьютером после открытия на нем документа

Эксплойт можно адаптировать для использования в качестве плагина к распространенному ПО для проведения тестов на проникновение Metaspoit Framework или Cobalt Strike. В таком случае злоумышленнику, который будет использовать доступный публично плагин, не нужно обладать специальными знаниями: за счет автоматизации сложность атаки существенно снижается. Достаточно лишь отправить по почте фишинговое письмо с прикрепленным вредоносным документом, название которого заинтересует получателя. Когда жертва откроет документ, атакующий получит доступ к системе.

Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.

Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.

Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).

Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.