Через несколько часов после публикации инструментария АНБ для взлома Windows компания Microsoft заявила о том, что большинство уязвимостей, упомянутых в новом дампе от Shadow Brokers, уже закрыты.

Еще большим сюрпризом явилось известие о том, что патчи для этих 0-day были включены в мартовское обновление MS17-010, устранившее шесть RCE-багов в Windows SMB. Как оказалось, две из них, CVE-2017-0146 и CVE-2017-0147, как раз использовала Equation Group, применяя эксплойты с экзотическими именами: EternalBlue, EternalChampion, EternalSynergy, EternalRomance.

Блог-запись о патчах для 0-day, опубликованная разработчиком в минувшую пятницу, довольно лаконична и не содержит дополнительных комментариев. «Мы проанализировали ситуацию и удостоверились, что возможности для эксплойта, раскрытые Shadow Brokers, были ранее устранены обновлением поддерживаемых продуктов, — сказано в этом заявлении. — Пользователи, регулярно обновляющие свое ПО, защиту уже получили».

Против обыкновения Microsoft не уточнила, кто обнаружил эти баги, хотя обычно с благодарностью именует исследователей, чей труд помогает латать бреши. Это упущение породило ряд гипотез. Одни полагают, что уязвимости были приватно раскрыты правительством в предусмотренном Microsoft специальном порядке — Vulnerabilities Equities Process (VEP). Другие думают, что разработчик заплатил за информацию третьей стороне или Shadow Brokers. Возможно также, что Microsoft запустила внутреннее расследование на основании январского анонса Shadow Brokers о наличии дампа хакерского инструментария на продажу. В этом объявлении были упомянуты имена некоторых эксплойтов, в частности EternalRomance и EternalSynergy.

Исследователь Джейкоб Уильямс (Jacob Williams), известный как MalwareJake, утверждает, что на тот момент можно было сделать вывод о наличии 0-day в SMB. В подтверждение своих слов Уильямс опубликовал прайс-лист, сопровождавший январское предложение Shadow Brokers о продаже. «Самым интересным фактом, пожалуй, является вероятность наличия 0-day для SMB среди этих эксплойтов, — пишет исследователь. — Исходя из назначенной цены, можно предположить, что это 0-day: для эксплойта к уже известной уязвимости это слишком дорого».

Исследователи из института SANS тем временем подвергли анализу создаваемый в результате применения EternalBlue скрытый канал связи Double Pulsar. Как оказалось, этот C&C-канал использует функцию Trans2 (Transaction 2 Subcommand Extension) в SMB для захвата пакетов. В отчете SANS сказано следующее:

«В пакете 13 pcap система, запускающая эксплойт, направляет жертве запрос trans2 SESSION_SETUP. Это происходит до отправки самого эксплойта. Этот запрос подается для проверки, скомпрометирована система или еще нет. В любом случае система выдаст ответ «Not Implemented» («Не реализовано»), однако как часть этого сообщения возвращается также Multiplex ID — 65 (0x41) для нормальных систем и 81 (0x51) для зараженных. Если система заражена, значит, можно использовать SMB как скрытый канал для вывода данных или запуска удаленных команд».

Изюминкой пятничного дампа Windows-инструментов, безусловно, являются четыре 0-day в SMB, однако остальные бреши могли использоваться еще до выпуска Windows Vista в 2006 году. Большинство пропатченных уязвимостей вызваны несовершенством SMB, остальные присутствовали в Windows Server и Kerberos. По словам Microsoft, три из них патчи не получат.

«Что касается эксплойтов EnglishmanDentist, EsteemAudit и ExplodingCan, ни один из них не воспроизводится на поддерживаемых платформах, — сказано в блог-записи Microsoft. — Это означает, что для пользователей Windows 7 и более новых версий Windows, а также Exchange 2010 и новее риска нет. Тем, кто использует более старые версии этих продуктов, рекомендуется произвести апгрейд до поддерживаемого варианта».

Категории: Главное, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *