Microsoft приняла необычное решение и выпустила патчи для нескольких версий Windows, которые официально уже не поддерживаются. Сделано это для того, чтобы закрыть дыры в безопасности, которые используется тремя эксплойтами NSA, фигурировавшими в апрельской утечке ShadowBrokers.

Самый неприятный эксплойт из этой троицы носит название ExplodingCan (CVE-2017-7269). Он эксплуатирует уязвимости в веб-сервере Microsoft Internet Information Services (IIS), в частности, версии 6.0, и позволяет атакующему получить возможность удаленного выполнению кода в Windows Server 2003.

Два другие эксплойта также позволяют получить возможность удаленного выполнения кода. Эксплойт EsteemAudit использует для этого уязвимость в Windows Remote Desktop Protocol (RDP) (CVE-2017-0176), а EnglishmanDentist (CVE-2017-8487), эксплуатирует дыру в OLE (Object Linking and Embedding). Как написано в сообщении Microsoft, патчи доступны для загрузки в ручном режиме.

ExplodingCan заслуживает более подробного обсуждения по причине широкой популярности IIS 6.0.

«Вероятно, эти уязвимости эксплуатируются атакующими уже в течение нескольких месяцев», — говорит Шон Диллон, старший аналитик RiskSense, который одним из первых исследовал эксплойт EternalBlue, использовавшийся для распространения WannaCry. «По крайней мере, теперь для них есть публично доступные патчи».

Во вторник, в рамках своего обычного цикла «вторник патчей» Microsoft выпустила огромное количество заплаток для официально поддерживаемых продуктов и сервисов. Обычно патчи для официально неподдерживаемых версий Windows доступны только тем клиентам Microsoft, кто заключил дорогостоящий контракт расширенной поддержки. Решение компании сделать это обновление безопасности публично доступным было продиктовано повышенным риском «разрушительных кибератак» .

«В связи с повышенными риском разрушительных кибератак, в этот раз мы решили сделать исключение. Отсутствие публично доступных патчей потенциально могло привести к появлению новых атак, схожих по своим характеристикам с WannaCry,» — говорит Адриан Хол, генеральный менеджер Microsoft Cyber Defense Operations Center.

«В процессе рассмотрения обновлений на этот месяц, мы выявили некоторое количество уязвимостей, обладающих повышенным потенциалом эксплуатации для кибер-атак, проводимых правительственными организациями, а также теми, кто заимствует их техники,» — сообщил Хол. «Для решения этой проблемы сегодня мы опубликовали дополнительные патчи в рамках нашего «Вторника обновлений». Эти обновления безопасности доступны всем клиентам, включая тех, кто использует старые версии Windows».

Апрельская утечка ShadowBrokers сделала публично доступными несколько весьма мощных эксплойтов, нацеленных на Windows, как утверждают, разработанных Агентством национальной безопасности (NSA) США. Киберпреступники и спецслужбы других государств уже использовали эксплойты из данной утечки. Помимо нашумевшей истории с WannaCry, также стоит отметить эпизоды, в которых эти эксплойты использовались для распространения биткойн-майнеров и других типов вредоносного программного обеспечения.

В Microsoft говорят, что пользователи не должны рассчитывать на то, что выпуск патчей для неподдерживаемых более продуктов станет нормой. Некоторые эксперты информационной безопасности уже успели раскритиковать компанию за то, что она выпустила патчи для неподдерживаемых продуктов в ходе эпидемии WannaCry.

Впрочем, некоторые эксперты придерживаются другой точки зрения. «Это был правильный шаг со стороны Microsoft», — говорит Шон Диллон. «На примере WannaCry мы уже видели, какой серьезный ущерб могут нанести подобные кибератаки. Следует иметь в виду, что в некоторых частях критической инфраструктуры все еще используется XP — невзирая на то, поддерживается система официально или нет. И когда у вас есть действительно критичные вещи, [которые работают на XP], выпускать патчи безопасности для наиболее опасных атак — хорошо и правильно. Другое дело, что на это решение стоит смотреть только как на временное — людям, отвечающим за подобные системы, следует заняться переходом на более новые версии».

Некоторые сторонние сервисы, такие как 0patch, выпустили микро-патчи некоторых из вышеупомянутых уязвимостей для устаревших версий операционных систем, причем еще до утечки ShadowBrokers. «Надеюсь, что люди, до сих пор пользующиеся устаревшими системами, в курсе, что помимо официальных патчей существуют также подобные сервисы,» — говорит Диллон. «Так или иначе, очень здорово, что вышел официальный патч».

Остальные два эксплойта несколько менее опасны, однако соответствующие уязвимости также следует пропатчить на устаревших системах.

EsteemAudit задействует дыру в RDP, но только в Windows XP, поэтому не требует патча в современных версиях Windows. По словам Microsoft, уязвимость работает, если в RDP-сервере включена аутентификация по смарт-картам.

Что касается EnglishmanDentist, уязвимость работает по той причине, что Windows OLE неправильно проверяет вод пользователя.

«В последнее время в публичный доступ утек целый арсенал разнообразных эксплойтов,и пока мы видели массовое использование только нескольких из них. Так что на данный момент это буквальное «затыкание дыр» — пока все это не превратилось в гораздо более серьезную проблему,» — подытоживает Шон Диллон.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *