Эксплуатация этой уязвимости позволяет атакующему получить полный контроль над системой жертвы. Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.
12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.
Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:
Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.
Эксплойт можно адаптировать для использования в качестве плагина к распространенному ПО для проведения тестов на проникновение Metaspoit Framework или Cobalt Strike. В таком случае злоумышленнику, который будет использовать доступный публично плагин, не нужно обладать специальными знаниями: за счет автоматизации сложность атаки существенно снижается. Достаточно лишь отправить по почте фишинговое письмо с прикрепленным вредоносным документом, название которого заинтересует получателя. Когда жертва откроет документ, атакующий получит доступ к системе.
Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.
Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.
Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).
Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.
12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.
Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:
- перехватывать учетные данные от различных сайтов и сервисов, в том числе интернет-банка и систем ДБО;
- развивать атаку внутрь организации для получения полного контроля над ее сетевой инфраструктурой;
- шифровать данные на атакованном узле и требовать выкуп;
- использовать узел как промежуточный при атаках на другие компании, для того чтобы скрыть свои следы и усложнить расследование.
Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.
Злоумышленник получает возможность удаленно управлять компьютером после открытия на нем документа
Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.
Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.
Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).
Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.
Thanks for sharing, nice post! Post really provice useful information!
ОтветитьУдалитьGiaonhan247 chuyên dịch vụ mua hàng trên amazon với hướng dẫn mua hàng trên amazon ship về việt nam cũng như cách đặt hàng trên amazon, hướng dẫn cách order hàng trên amazon và cách mua hàng trên amazon mỹ cũng như gửi hàng từ Mỹ về Việt Nam giá rẻ với chi tiết bảng giá ship hàng từ mỹ về việt nam uy tín.