Как защититься от вредоносного ПО, эксплуатирующего уязвимость Windows CVE-2017-8759

Tihon74
Оффлайн

Tihon74

Заблокирован
Регистрация
25.06.17
Сообщения
2.588
Реакции
71
Репутация
157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
d70cdc788ed41280e08fb9ecb94c6255.jpg

Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.

Эксплуатация этой уязвимости позволяет атакующему получить полный контроль над системой жертвы. Эксперты Positive Technologies предупреждают о росте угроз для пользователей Windows с установленным .NET Framework и дают рекомендации по защите.

12 сентября стало известно об уязвимости CVE-2017-8759 в .NET Framework (версии 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7), приводящей к выполнению произвольного кода на атакуемой системе. В отчете компании FireEye говорится об использовании данной уязвимости при распространении трояна FinSpy.

Эксплойт для CVE-2017-8759 появился в сети уже на следующий день после публикации уязвимости, и сейчас эксперты Positive Technologies прогнозируют лавинообразный рост количества вредоносного ПО, эксплуатирующего ее. Также в публичном доступе можно найти демонстрационное видео, на котором показано, как вредоносный код встраивается в документы MS Word и выполняется в случае, когда пользователь открывает файл для просмотра на уязвимом узле. В результате этого действия нарушитель получает полный контроль над атакуемой системой и может выполнять любые действия на компьютере жертвы, в частности:

  • перехватывать учетные данные от различных сайтов и сервисов, в том числе интернет-банка и систем ДБО;
  • развивать атаку внутрь организации для получения полного контроля над ее сетевой инфраструктурой;
  • шифровать данные на атакованном узле и требовать выкуп;
  • использовать узел как промежуточный при атаках на другие компании, для того чтобы скрыть свои следы и усложнить расследование.

Поэтому пользователи и организации, не следящие за своевременным обновлением ОС Windows и MS Office, оказываются либо непосредственно пострадавшими от действий злоумышленников, либо выступают в роли промежуточного звена в атаках на других лиц, что делает их в некотором смысле соучастниками.



Злоумышленник получает возможность удаленно управлять компьютером после открытия на нем документа

Эксплойт можно адаптировать для использования в качестве плагина к распространенному ПО для проведения тестов на проникновение Metaspoit Framework или Cobalt Strike. В таком случае злоумышленнику, который будет использовать доступный публично плагин, не нужно обладать специальными знаниями: за счет автоматизации сложность атаки существенно снижается. Достаточно лишь отправить по почте фишинговое письмо с прикрепленным вредоносным документом, название которого заинтересует получателя. Когда жертва откроет документ, атакующий получит доступ к системе.

Такой подход используют киберпреступники из группы Cobalt, методы которых детально описаны в наших отчетах (первый, второй). Поэтому мы не исключаем переход группы на эксплойт для CVE-2017-8759 в самое ближайшее время.

Уязвимости ПО и операционных систем, для которых существуют опубликованные эксплойты, представляют угрозу для компаний и простых пользователей, поэтому для минимизации возможных рисков, связанных с CVE-2017-8759, мы рекомендуем как можно скорее установить актуальное обновление Microsoft (от 12.09.2017), устраняющее выявленную проблему.

Необходимо регулярно проводить анализ ресурсов на наличие уязвимых версий ПО и обновлять системы. В ходе работ по тестированию на проникновение мы в 91% случаев обнаруживаем в исследуемых системах уязвимые версии ПО. Использование уязвимого ПО ежегодно входит в топ-10 наиболее распространенных векторов атак на инфраструктуру и во многих случаях позволяет либо преодолеть периметр сети, либо повысить привилегии на сервере до максимальных (при компрометации узла).

Для поиска узлов инфраструктуры, подверженных уязвимостям, можно использовать MaxPatrol 8 — систему контроля защищенности и соответствия стандартам.
 
Chrome
Оффлайн

Chrome

Регистрация
20.08.17
Сообщения
33
Реакции
2
Репутация
9
Кстати, я полностью отключила все обновления шиндоус, да и вообще удалила их всех, не юзаю антивирь и брандмауэры, фраймворки и прочую херь, тем не менее, комп в полной безопасности. Рассчитываю только на свой скилл везения. Сколько смогу продержаться?
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу