«Информзащита» представила перечень действий по обеспечению ИБ в связи с возможной утечкой инструментария АНБ

17 апр 2017 15:05 #55716 от ICT
В пятницу 14 апреля в интернете был обнаружен архив, состоящий из большого количества неизвестных до этого момента эксплойтов. Архив состоит из трех основных частей, которые относятся к операционной системе Windows, к системе международных платежей SWIFT и к некой системе ODDJOB, рассказали CNews в компании «Информзащита». По итогам анализа папки SWIFT можно предположить, что это копия части рабочих материалов проекта JEEPFLEA_MARKET, рассказали в компании. В ней содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно: конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например, telnet, а также признаки использования ресурсов, относящихся\подключенных к системе SWIFT; полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей; SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT; рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа; рабочие материалы АНБ для подготовки презентации о статусе\результатах проекта. По результатам анализа этих материалов, эксперты «Информзащиты» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group — международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Также удалось выяснить, что проект JEEPFLEA_MARKET стартовал в 2012 г. и реализовался как минимум до августа 2013 г., и в ходе проекта был получен полный доступ к ИТ-инфраструктуре исследуемой организации. В свою очередь, EastNets Group заявила, что провела полную проверку и не обнаружила уязвимостей, признаков компрометации и взлома. По данным «Информзащиты», анализ папки, касающейся ОС Windows, показал, что найденные эксплойты используют множество уязвимостей, в том числе и уязвимости широко использующегося протокола SMB. Все предоставленные эксплойты доступны в интернете для пользователей, не обладающих специальными навыками и знаниями. Пример таких эксплойтов, а также закрывающих уязвимости обновлений приведен ниже: Eclipsedwing — удаленное выполнение кода (RCE) для SMB (Microsoft Windows 2000, Windows XP, Windows Server 2003), обновление безопасности — MS08-67; Educatedscholar — удаленное выполнение кода (RCE) для SMBv2 (Windows Vista (SP0, SP1), Windows Server 2008 SP2 (x64, x86)), обновление безопасности — MS09-050; Emeraldthread — удаленное выполнение кода (RCE) для службы очереди печати принтера через RPC, атакующий должен быть аутентифицирован в домене (Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2), обновление безопасности — MS10-061; Eskimoroll — эксплойт, направленный на контроллер домена и использующий Kerberos для повышения привилегий с обычного пользователя домена до доменного администратора (Windows Server 2000, 2003, 2008 и 2008 R2), обновление безопасности — MS14-068. Отдельно в компании выделили эксплойты, для которых обновления безопасности работают частично, либо не будут выпущены вообще. Так, Esteemaudit — удаленное выполнение кода (RCE) в RDP (Remote Desktop) — эксплуатирует уязвимость в аутентификации по смарт-карте, устанавливает имплант (бэкдор). Уязвимости подвержены системы Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, так как системы больше не поддерживаются. Explodingcan — удаленное выполнение кода (RCE) в Microsoft IIS 6 — эксплуатирует уязвимость в WebDav. Windows Server 2003. Для данной уязвимости обновление безопасности выпущено не будет. Eternalchampion — удаленное выполнение кода (RCE) для SMBv1. Эксплойт работает на Windows XP, 7, Windows Server 2008. Обновление безопасности — MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003. Englishmansdentist — Эксплойт Exchange/OWA. На данный момент не исследован, возможно является 0day. Erraticgopher — удаленное выполнение кода (RCE) в SMB. Работает в Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, поскольку системы больше не поддерживаются. Эксплойты Etternalblue, Eternalromance и Eternalsynergy — удаленное выполнение кода (RCE) для SMBv1 — работают в любой системе Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновления безопасности — MS17-010. Уязвимость не будет закрыта для систем Windows XP и Windows Server 2003. «Информзащита» рекомендует всем организациям и банковскому сектору в частности принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности. Особенное внимание в компании советуют уделить следующим рекомендациям: до момента выпуска официального обновления безопасности от Microsoft для ОС Windows 7 и выше запретить использование трех протоколов — протокол SMB ver1 и ver2, протокол RDP и протокол WebDAV; установить обновления систем безопасности для защиты внешнего периметра; произвести внеочередное резервное копирование критичных информационных ресурсов; проверить защищенность сервисов удаленного доступа; выполнить сканирование ресурсов на предмет наличия указанных уязвимостей и отсутствия установленных обновлений; произвести внеочередную смену паролей для учетных записей с административными полномочиями, это относится также и к сетевому оборудованию, настроить безопасные методы доступа и провести аудит текущих настроек и аккаунтов; обновить сигнатуры на используемых средствах защиты и проверить функционирование всех средств защиты, в частности, систем сигнатурного и эвристического анализа. В долгосрочной перспективе (не более одной недели) рекомендуется рассмотреть возможность отказа от использования ОС Windows XP и Windows Server 2003, поскольку корпорация Microsoft больше не обеспечивает поддержку этих операционных систем и не выпускает для них обновления безопасности. В случае если это невозможно, необходимо провести мероприятия по защите операционной системы с использованием средств защиты класса IPS, антивирусов и средств защиты от таргетированных атак, подчеркнули в «Информзащите». «Команда экспертов “Информзащиты” готова проконсультировать все компании, обеспокоенные сложившейся ситуацией, по вопросам рисков и угроз, а также оперативно обеспечить защиту их инфраструктуры, — заявил технический директор компании Евгений Климов. — Security Operation Center “Информзащиты” гарантирует быстрое определение уровня защищенности, тщательный мониторинг 24/7 и своевременное реагирование на такого рода события». Текущим клиентам специалисты «Информзащиты» по запросу готовы разослать отдельные рекомендации по настройке их систем безопасности. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    "Информзащита" разработала требования по обеспечению ИБ для ИТ-инфраструктуры "Лукойла"15.22Среда, 17 декабря 2014
    Журналисты Олег Кашин и Александр Плющев обратились в ЕСПЧ в связи с возможной блокировкой Telegram в России11.06Четверг, 12 апреля 2018
    "Информзащита" представила топ-10 уязвимостей и недостатков за 2014 г.10.9Вторник, 17 февраля 2015
    «Информзащита» представила итоги финансового года10.9Пятница, 26 мая 2017
    «Информзащита» представила оценку рынка ИБ за 2017 год10.9Четверг, 26 апреля 2018
    ФАС представила перечень программ для предустановки на электронику в РФ10.62Четверг, 23 января 2020
    Крупнейшие операторы связи включены в перечень системообразующих организаций10.57Вторник, 21 апреля 2020
    Пушилин заявил о "жизненной необходимости" инструментария майнеров в ДНР10.23Пятница, 07 июня 2024
    В Челябинской области расширили перечень категорий граждан, имеющих право на соцподдержку в связи с переходом на цифру10.03Пятница, 30 августа 2019
    Акции Facebook упали на 6% на фоне скандала с утечкой данных 50 млн пользователей8.74Понедельник, 19 марта 2018

    Мы в соц. сетях