Microsoft исследует серьезную уязвимость в Windows 7

WinITPro.ru  /  Windows 7  /  Windows Server 2008  /  Windows XP  /  WindowsServer 2003/2008  /  CVE-2019-0708: Критическая уязвимость в службе удаленного рабочего стола Windows

14 мая 2019 года Microsoft сообщила о наличии критической уязвимости в реализации службы удаленных столов (ранее служба терминалов) в Windows, которая позволяет атакующему, не прошедшему проверку подлинности, через протокол RDP удаленно выполнить произвольный код на целевой системе.

RCE (Remote Code Execution) уязвимость описана в CVE-2019-0708 и ей присвоено неофициальное название BlueKeep. Уязвимости подвержены только старые версии Windows – начиная с Windows XP (Windows Server 2003) и заканчивая Windows 7 (Windows Server 2008 R2). Более новые версии (Windows 10, 8.

1 и Windows Server 2012R2/2016/2019) данной уязвимости в RDS не подвержены.

RCE уязвимость CVE-2019-0708 в Remote Desktop Services

Уязвимость присутствует не в самом протоколе RDP, а в реализации службы удаленных рабочих столов (Remote Desktop Service) в старых версиях Windows. Для эксплуатации уязвимости необходим только сетевой доступ к компьютеру с подверженной версией Windows и наличие на нем включенной службы RDP (доступ к которой не должен блокироваться межсетевыми экранами). Т.е.

если ваш Windows хост доступен из интернета через RDP, это означает, что уязвимость может быть эксплуатирована кем угодно. Уязвимость реализуется за счет отправки специального запроса к службе удаленного рабочего стола через RDP, преаутентфикация удаленного пользователя при этом не требуется.

После реализации уязвимости BlueKeep атакующий может удаленно выполнить произвольный код на целевой системе с правами SYSTEM.

Microsoft отмечает, что есть весьма высокая вероятность появления автоматических червей, которые будут используют уязвимость в RDS для распространения в локальных сетях. Таким образом масштаб атак может достигнуть результатов червя WannaCry (использовал уязвимость в протоколе SMB CVE-2017-0144 — EternalBlue).

Защита от уязвимости BlueKeep CVE-2019-0708

Для защиты от уязвимости CVE-2019-0708 (BlueKeep) Microsoft рекомендует оперативно установить обновления безопасности (перечислены в следующем разделе). Для уменьшения рисков реализации уязвимости на системах до момента установки обновления во внешнем периметре рекомендуются следующие действия:

• Временно отключить RDP доступ к компьютерам и отключить службу Remote Desktop Services или заблокировать внешний доступ на RDP на межсетевых экранах периметра сети и отключить проброс RDP портов в локальную сеть;
• Включить поддержку Network Level Authentication (NLA — Проверку подлинности на уровне сети) в настройках RDP на компьютере ) – возможно настроить как в Windows 7 /2008 R2, так и в Windows XP SP3. При включенной NLA для реализации уязвимости атакующему сначала нужно аутентифицироваться в службе Remote Desktop Services с помощью действительного аккаунта (реализовать атаку можно только под легитимным пользователем).

Обновления Windows для защиты от RDP уязвимости BlueKeep

Microsoft выпустила обновления для всех ОС Windows, подверженных уязвимости CVE-2019-0708 (BlueKeep). Патчи доступны для загрузки в каталоге обновлений Microsoft.

Несмотря на то, что Microsoft прекратила поддержку Windows XP и Windows Server 2003, для защиты от BlueKeep были выпушены обновления и для этих устаревших систем. Что лишний раз подчеркивает серьезность найденной уязвимости и высокий риск ее массовой эксплуатации.

Ниже приведены прямые ссылки на ручную загрузку обновлений для популярных версий Windows:
KB4500331:

Windows XP SP3 x86, x64 Windows XP Embedded, Windows Server 2003 SP2 x86, x64 — https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331

KB4499175:

В Windows XP и 2003 обновления kb4500331 придется устанавливать вручную.

Для Windows 7 и Windows Server 2008 R2 обновление KB4499175 уже доступно для установки через WSUS (в зависимости от настроек одобрения обновлений) и Microsoft Update. Но вы можете установить его и вручную из msu файла с помощью wusa.exe:

wusa.exe «C:Installwindows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu» /quiet /warnrestart

Предыдущая статья Следующая статья

Проверка системы на уязвимость EternalBlue (CVE-2017-0143) MS17-010

Всем привет! С вами снова Litl-Admin. Сегодня мы поговорим о весьма серьёзной уязвимости операционных систем Windows, нашумевшей в прошлом 2017 году, но до сих пор очень актуальной! Имя ей EternalBlue.

Описание уязвимости

Уязвимость выражается в удалённом выполнении кода в Microsoft SMBv1 сервере. Она настолько серьёзная, что были выпущены заплатки даже для уже неподдерживаемой версии Windows XP (также подверженной данной уязвимости). Данной уязвимости присвоен идентификатор CVE-2017-0143 и кодовое имя “EternalBlue”.

Прокатившаяся по планете эпидемия шифровальщиков WannaCry была вызвана эксплуатацией данной уязвимости, наверняка вы читали IT-новости и оценили тот ажиотаж вокруг этой пандемии.

Как проверить систему на уязвимости

Почитали, ужаснулись. А есть ли у нас данная уязвимость? Бежим проверять.

При помощи специального сканера EternalBlues

Разработан специальный сканер, позволяющий массово проверить хосты на уязвимость. Не знаю конечно, мне проще проверить Nmap, но если кому-то сетевой сканер кажется не очень лёгким в освоении, то вот программка – EternalBlues.

Работа с утилитой проста – ввели диапазон сканирования IP, нажали кнопку “SCAN”.

При помощи сетевого сканера Nmap

Выполняем сканирование следующей командой:

nmap -p 445 -Pn —script smb-vuln-ms17-010

уязвимые хосты будут обозначены меткой VULNERABLE.

Способ для совсем хакеров. Используем специальный модуль Metasploit:

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.100.100

exploit

Ну или указываем свой IP-адрес, который хотим проверить

Как защититься от данной уязвимости

1. Прежде всего – своевременно обновлять операционную систему. Привожу ссылку на бюллетень безопасности Microsoft MS17-010;
2. Закрыть извне порт 445/tcp при помощи файрволла.

Демонстрация использования уязвимости EternalBlue

Для того, чтобы продемонстрировать работу данной уязвимости, я специально накатил на виртуальные машины пару операционных систем без заплаток – Windows XP SP3 (до сих пор актуальную в определённых кругах) и Windows Server 2008 R2.

Вообще я тестировал на нескольких виртуальных машинах без установки заплатки:

• Windows XP SP3 – вылетела в синий экран смерти;
• Windows 7 SP1 – вылетела в синий экран смерти;
• Windows Server 2008 R2 – отдала шелл с правами системы;

Помните, что эксплуатация данной уязвимости может послужить потерей данных и стать уголовно наказуемым деянием, поэтому выполнять будем только на своих виртуальных системах, а не на живых серверах (и уж тем более чужих). Смотрим!

Microsoft исправила серьезные уязвимости в Windows

Microsoft выпустила целых 16 обновлений для своих продуктов. Обновления закрывают ряд серьезных уязвимостей в компонентах Windows, Office, а также .NET Framework.

Обновление MS16-053 закрывает опасную Remote Code Execution (RCE) 0day уязвимость CVE-2016-0189 в известном компоненте Vbscript.dll (VBScript Scripting Engine), которая используется атакующими в кибератаках на пользователей.

Аналогичные опасные уязвимости были закрыты в компоненте Windows Shell (Windows.ui.dll), Journal (Journal.exe), Graphics (Gdi32.dll, Windowscodecs.dll) и др.

Одно из обновлений MS16-066 относится к уязвимости в компоненте защищенной среды Virtual Secure Mode на Windows 10, с помощью которого корпоративные пользователи могут создавать высокозащищенные и недоступные для воздействия извне виртуальные машины (контейнеры). Закрытая уязвимость CVE-2016-0181 (Hypervisor Code Integrity Security Feature Bypass) позволяла запускать на такой защищенной виртуальной машине специальным образом сформированные (вредоносные) приложения без цифровой подписи.

Обновление MS16-051 исправляет пять уязвимостей в веб-браузере Internet Explorer. Обновление адресуется всем поддерживаемым веб-браузерам IE 9-11 на Windows Vista SP2+.

Большинство исправленных уязвимостей относятся к типу Remote Code Execution (RCE) и могут быть использованы атакующими для удаленного исполнения кода с использованием специальным образом сформированной веб-страницы. Critical.

Обновление MS16-052 исправляет четыре RCE-уязвимости в защищенном веб-браузере Edge на Windows 10. Эксплуатация уязвимостей возможна с использованием специальной вредоносной веб-страницы. Critical.

Обновление MS16-053 исправляет две RCE-уязвимости типа memory-corruption с идентификаторами CVE-2016-0187 и CVE-2016-0189 в движках JavaScript и VBScript на Windows Vista SP2 — Windows Server 2008 SP2. Эксплуатация уязвимостей возможна с использованием специальным образом сформированной веб-страницы. Critical.

Обновление MS16-054 исправляет четыре уязвимости в продуктах Microsoft Office 2007+. Исправленные уязвимости относятся к типу RCE и позволяют злоумышленнику удаленно исполнить код в системе пользователя с помощью специальным образом сформированного файла Office. Одна из уязвимостей CVE-2016-0183 присутствует в графическом компоненте Office. Critical.

Обновление MS16-055 исправляет пять уязвимостей в графических компонентах Windows Vista+: Gdi32.dll, D3d10level9.dll, Windowscodecs.dll.

Уязвимость CVE-2016-0170 относится к типу RCE и позволяет злоумышленникам удаленно исполнить код в системе с использованием размещенного на веб-сайте вредоносного мультимедийного файла.

Две других уязвимости CVE-2016-0168 и CVE-2016-0169 относятся к типу Information Disclosure и присутствуют в компоненте Gdi32.dll. Они позволяют атакующему несанкционированно получить информацию о системе пользователя. Critical.

Обновление MS16-056 исправляет опасную RCE-уязвимость CVE-2016-0182 в компоненте журнала Windows Vista+ (Windows Journal).

Эксплуатация уязвимости возможна через открытие пользователем специальным образом сформированного файла журнала, ссылка на который может быть отправлена жертве через мессенджер или по электронной почте.

Обновлению подвержены следующие системные файлы: Jnwdrv.dll, Jnwdui.dll, Jnwmon.dll, Pdialog.exe, Journal.exe и др. Critical.

Обновление MS16-057 исправляет опасную RCE-уязвимость с идентификатором CVE-2016-0179 в оболочке Windows Shell на Windows 8.1+. Эксплуатация уязвимости возможна через специальным образом сформированное содержимое, которое будет размещено на веб-сайте. Обновлению подлежит системная библиотека Windows.ui.dll. Critical.

Обновление MS16-059 исправляет RCE-уязвимость с идентификатором CVE-2016-0185 в Windows Media Center на Windows Vista+. Злоумышленники могут удаленно исполнить код в системе пользователя через специальным образом сформированный файл ссылки Media Center link (.mcl), который должен быть открыт в проигрывателе Media Center. Обновлению подлежит системный файл Ehshell.dll. Important.

Обновление MS16-060 исправляет Local Privilege Escalation (LPE) уязвимость CVE-2016-0180 в ядре (Ntoskrnl.exe) Windows Vista+. Уязвимость заключается в неправильной обработке символьных ссылок и позволяет вредоносному приложению поднять свои привилегии до уровня ядра и запустить вредоносный код в режиме ядра. Important.

Обновление MS16-061 исправляет LPE уязвимость CVE-2016-0178 в компоненте Remote Procedure Call (RPC) на Windows Vista+.

Атакующий может отправить другой стороне специальный RPC-запрос, что приведет к утечке памяти в движке RPC Network Data Representation (NDR) Engine, что позволит атакующему исполнить свой код в системе с максимальными привилегиями. Обновление адресуется библиотеке Rpcrt4.dll. Important.

Обновление MS16-062 исправляет множественные LPE уязвимости в драйверах подсистемы Windows — Win32k.sys и DirectX — Dxgkrnl.sys, Dxgmms1.sys на Windows Vista+.

Уязвимости могут эксплуатироваться с использованием вредоносных приложений, которые предоставляют атакующим максимальные SYSTEM-привилегии в системе. Одна из уязвимостей в Win32k.

sys с идентификатором CVE-2016-0175 может использоваться для обхода Kernel ASLR (KASLR). Important.

Обновление MS16-067 исправляет уязвимость CVE-2016-0190 типа Information Disclosure в драйвере диспетчера томов Volmgr.sys на Windows 8.1. В сценарии атаки с использованием уязвимости, атакующий может просмотреть содержимое примонтированного в систему съемного USB-диска через удаленный RDP с использованием Microsoft RemoteFX. Important.

Информацию о других обновлениях можно найти здесь technet.microsoft.com/library/security/ms16-may.

• Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
• 
  be secure.
• ESET NOD32
• Источник

Исследователь случайно нашел 0-day баг в Windows 7 и Server 2008

Рекомендуем почитать:

• Содержание выпуска
• Подписка на «Хакер»-70%

Французский ИБ-исследователь Клемент Лабро (Clément Labro) работал над созданием защитного инструмента, когда обнаружил, что Windows 7 и Windows Server 2008 R2 уязвимы перед багом локального повышения привилегий.

Эксперт пишет, что уязвимость кроется в двух неправильно настроенных ключах реестра для RPC Endpoint Mapper и DNSCache, которые являются частью всех установок Windows:

• HKLMSYSTEMCurrentControlSetServicesRpcEptMapper
• HKLMSYSTEMCurrentControlSetServicesDnscache

Так, уже проникший в систему злоумышленник может изменить эти ключи таким образом, чтобы активировать подключ, который используется для работы Windows Performance Monitoring.

Данный механизм применяется для мониторинга производительности приложений, а также позволяет разработчикам загружать собственные файлы DLL для отслеживания их производительности с помощью специальных инструментов.

Хотя в последних версиях Windows  DLL обычно загружаются с ограниченными привилегиями, Лабро пишет, что в Windows 7 и Windows Server 2008 по-прежнему можно загружать кастомные DLL, которые в итоге будут выполнены с привилегиями уровня SYSTEM.

Большинство исследователей сообщают Microsoft о серьезных проблемах с безопасностью в частном порядке, сразу после их обнаружения, однако в случае Лабро для этого было уже слишком поздно.

Дело в том, что исследователь нашел проблему уже после того, как выпустил обновление для своего инструмента PrivescCheck, который используется для выявления неправильных настроек безопасности Windows (ими могут злоупотреблять вредоносные программы для повышения привилегий).

Таким образом, в обновление PrivescCheck был добавлен новый набор проверок для методов повышения привилегий. Лабро пишет, что тогда он не понимал, что эти проверки обнаруживают новый, непропачтенный способ повышения привилегий.

Лишь через несколько дней после релиза он начал анализировать странные предупреждения, появлявшиеся в более старых системах, таких как Windows 7.

 К сожалению, на тот момент было поздно сообщать о проблеме в частном порядке, поэтому исследователь просто раскрыл детали найденной уязвимости в своем блоге.

Так как поддержка Windows 7 и Windows Server 2008 R2 уже давно прекращена, Microsoft практически прекратила выпуск обновлений безопасности для этих ОС. Некоторые обновления еще доступны для пользователей Windows 7 через платную программу ESU (Extended Support Updates), но исправлений для найденной Лабро проблемы нет и там.

Пока для пользователей старых ОС доступен только неофициальный микропатч от компании Acros Security, разрабатывающей 0pach. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

Для Windows 7 и Windows Server 2008 вышел патч против уязвимости нулевого дня

Уязвимость локального повышения привилегий затрагивает все устройства Windows 7 и Windows Server 2008 R2. Исправление, закрывающее данную уязвимость, с 25 ноября распространяется через платформу 0patch

Уязвимость нулевого дня затрагивает все устройства Windows 7 и Windows Server 2008, зарегистрированные в программе расширенных обновлений безопасности Microsoft (ESU). Компания Microsoft пока не выпустила официальное исправление для клиентов ESU.

Бесплатный микропатч от 0patch предназначен для любых компьютеров Windows 7 и Server 2008 R2, как для подключенных к ESU (последние обновления от ноября 2020 года), так и без ESU (последние обновления от января 2020 года).

Скачать 0patch Agent для Windows

• В настоящее время только организации малого и среднего бизнеса с действующими соглашениями о корпоративном лицензировании могут получить лицензию ESU до января 2023 года.
• Уязвимость локального повышения привилегий (LPE) возникает из-за неправильной настройки двух разделов реестра служб и позволяет локальным злоумышленникам повысить свои привилегии в любой полностью обновленной системе Windows 7 и Server 2008 R2.
• Проблема была обнаружена исследователем безопасности Клементом Лабро (Clement Labro). В начале этого месяца он опубликовал исследование, в котором подробно описывается, как небезопасные разрешения в разделах реестра:

HKLMSYSTEMCurrentControlSetServicesDnscache

и

HKLMSYSTEMCurrentControlSetServicesRpcEptMapper

1. позволяют злоумышленникам обойти службу RPC Endpoint Mapper с целью загрузки вредоносных DLL.
2. В результате они получают возможность выполнения произвольного кода в контексте службы инструментария управления Windows (WMI), которая работает с разрешениями LOCAL SYSTEM.
3. Митя Колсек (Mitja Kolsek) из 0patch пояснил механизм эксплуатации:

Локальный пользователь без прав администратора может создать на целевом компьютере подраздел производительности в одном из указанных выше разделов, заполнить его некоторыми значениями и запустить мониторинг производительности, что в свою очередь приведет к загрузке вредоносного DLL процессом WmiPrvSE.exe в локальной системе и выполнению произвольного кода из него.

Лабро сообщил:

На данный момент, если вы все еще используете Windows 7 или Windows Server 2008 R2, надежно не изолировав эти машины в сети, то предотвращение получения злоумышленником привилегий SYSTEM, вероятно, будет наименьшей из ваших беспокойств.

• Микропатчи 0patch представляют собой фрагменты кода, отправляемые в режиме реального времени через платформу 0patch клиентам Windows для исправления проблем безопасности и применяемые к запущенным процессам без перезагрузки системы.
• Данный конкретный микропатч доступен бесплатно для всех пользователей, пока Microsoft не выпустит официальное исправление для решения проблем с неправильными разрешениями реестра.
• В компании 0patch пояснили, что микропатч «саботирует операции мониторинга производительности двух затронутых служб: Dnsclient и RpcEptMapper».
• Колсек добавил:

Если для этих служб потребуется мониторинг производительности, то микропатч можно будет временно отключить. Для этого не требуется перезапуск службы, а тем более компьютера.

На демонстрационном видео показано, микропатч блокирует эксплуатацию уязвимости нулевого дня Windows LPE:

Корпорация Microsoft подтвердила критическую уязвимость в Windows 7! — ИНТЕРНЕТ РЕСУРС ПРО WINDOWS

Привет огромнейший Всем!!!Наконец, специалисты-разработчики корпорации Майкрософт(Microsoft) подтвердили, или скорее признали тот факт, что оказывается всё-таки присутствует наличие уязвимости в операционной системе Windows 7, а точнее в Microsoft Windows 7 c 64-х битной архитектурой. Уязвимости даже присвоен высочайший «критический» класс опасности.

Причиной такого «подтверждения», скорее всего, послужило многочисленное обращение в службу технической поддержки корпорации Майкрософт большого числа конечных потребителей данного продукта.

Судя по количеству обращений пользователей операционной системы Microsoft Windows по причине появления BSOD(Blue Screen Of Dead) или Синего Экрана Смерти (дословно).

Эти критические уязвимости в операционной системе имели место быть и ранее, и не только в «Семерке» х64, а также и на компьютерах с процессором не поддерживающим 64-х битную архитектуру ядра.

Специалисты-разработчики Корпорации Майкрософт говорят, что любой потенциальный злоумышленник, теоретически, все-таки может спровоцировать серьезный сбой, даже полный крах системы и выполнение произвольного кода, а уже сама уязвимость проявится в момент работы с веб-обозревателем Apple Safari, которому, кстати говоря, очень и очень еще далеко, чтобы являться лидером среди поклонников Windows. Но, тем не менее, корпорация Майкрософт приняла данную сложившуюся ситуацию на особый контроль.

Сотрудники корпорации Microsoft сообщают, что данная уязвимость проявляет себя только после того, как в браузере Safari пользователь открывает страницу, содержащую в своем коде подготовленный специально тег.

Затем, после обработки данного тега, в Microsoft Windows 7 x64 появляется очень серьезный сбой, который приводит операционную систему к «синему экрану смерти», а злоумышленник, спровоцировавший этот сбой, в это самое время вполне может запустить на удаленном персональном компьютере вредоносный код.

«Ответственным» за уязвимость операционной системы Microsoft Windows 7 с технической стороны является файл win32k.sys.

В данном файле специалистами-разработчиками Корпорациии Майкрософт и была обнаружена серьезная критическая ошибка (необходимо все-таки отметить, что именно в данном файле и находят обычно подобные источники уязвимости операционной системы Microsoft Windows).

Конечно, может еще и очень рано говорить о том, что подвержены уязвимости и более ранее вышедшие версии Microsoft Windows, однако сами сотрудники Корпорации Майкрософт, по их словам, этого факта совсем не исключают.Всем пока и до скорого.

Цель для хакеров: в Windows 7 нашли уязвимость нулевого дня — Газета.Ru

Критическая уязвимость была найдена в операционной системе Windows 7. Эксперты предупреждают, что Microsoft не будет выпускать патч, исправляющий опасную ошибку, а потому советуют владельцам «семерки» обновить систему. Чем опасна найденная уязвимость — в материале «Газеты.Ru».

Французский исследователь кибербезопасности случайно обнаружил уязвимость нулевого дня в операционных системах (ОС) Windows 7 и Windows Server 2008 R2, сообщает интернет-портал ZDNet.

Критические уязвимости были найдены Клеманом Лабро во время работы над обновлением инструментов безопасности Windows. Проблема заключается в неправильно настроенных разделах реестра для служб RPC Endpoint Mapper (удаленный вызов процедур) и DNS Cache (кэш системы доменных имен), которые являются частью всех установок этой операционной системы.

Найденная уязвимость позволяет злоумышленнику, у которого есть доступ к серверу или к рабочей станции, изменить настройки реестра Windows, получить доступ к системе мониторинга и загрузить в нее любой код.

Этот код будет выполняться с системными привилегиями, и, как следствие, через него можно осуществить любые действия.

Как сообщил «Газете.Ru» технический директор Check Point Software Technologies в России и СНГ Никита Дуров, существует большая вероятность того, что при атаке взломщики будут использовать именно эту уязвимость, но на текущий момент нет информации о реализованных атаках или имплементации вредоносного ПО таким способом.

«Есть и другая проблема: Windows 7 и Windows Server 2008 R2 уже сняты с поддержки Microsoft, и, скорее всего, патчи, решающие проблему, не будут выпущены.

Из-за этого в старых продуктах может быть еще много уязвимостей, и пользователям придется их использовать на свой страх и риск», — рассказал Дуров.

Windows 7 — одна из самых популярных ОС в мире. По данным на октябрь 2020 года, на ее долю приходится 22,71% всех пользователей.

Важно понимать, что найденная уязвимость − это не вирус, а возможность для хакерских структур оперативно создать вирусное ПО под эту уязвимость для ее эксплуатации, пояснил «Газете.Ru» директор департамента информационной безопасности компании Oberon Евгений Суханов.

«Ярким примером глобальной уязвимости и ее эксплуатации в операционных системах Microsoft явился вирус WannaCry в 2017 году, который вывел из строя около 4 млн устройств по всему миру, включая терминалы по продаже билетов в Германии, инфраструктуру аэропорта в Украине, многочисленные офисные и личные рабочие станции. Ущерб от действий вирусного ПО тогда оценили в 2$ млрд», — напомнил Суханов.

Эксперт считает, что для минимизации рисков необходимо отказаться от использования устаревших ОС, даже если они кажутся пользователю привычными и удобными.

«Я бы советовал проводить миграцию со старых версий операционных систем на более новые, выстраивать процессы контроля и анализа защищенности системы. Это повысит надежность инфраструктуры и минимизирует реализацию подобных уязвимостей», — заключил Суханов.

Follina: вход через офисные документы

Обновлено 15.06.2022: В рамках июньского «Вторника Обновлений» Microsoft выпустила заплатку для уязвимости Follina. Пользователям рекомендуется убедиться в том, что нужное обновление установлено.

Исследователи обнаружили очередную достаточно серьезную уязвимость в продуктах Microsoft, потенциально позволяющую злоумышленникам выполнить произвольный код. Ей присвоен номер CVE-2022-30190, а в среде исследователей ей дали имя Follina. Самое неприятное, что патча пока нет, а тем временем уязвимость уже активно эксплуатируется злоумышленниками.

Пока обновление разрабатывается, всем пользователям и администраторам Windows рекомендуют воспользоваться временными обходными решениями.

Что за уязвимость CVE-2022-30190 и какие продукты она затрагивает

Сама по себе уязвимость CVE-2022-30190 содержится в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), но из-за особенностей реализации этого инструмента она может быть поэксплуатирована при помощи вредоносного офисного документа.

MSDT — это приложение, которое используется в случае некорректной работы Windows для автоматизированного сбора диагностической информации и отправки ее в Microsoft.

Оно может быть вызвано из другого приложения (как пример обычно приводят Microsoft Word) через специальный протокол MSDT URL.

При успешной эксплуатации уязвимости злоумышленник получает возможность запустить произвольный код с привилегиями вызывающего MSDT приложения — то есть в данном случае с правами пользователя, открывшего вредоносный файл.

Уязвимость CVE-2022-30190 можно проэксплуатировать во всех операционных системах семейства Windows, как обычных, так и серверных.

Как злоумышленники эксплуатируют CVE-2022-30190

В качестве демонстрации атаки исследователи описывают следующий алгоритм. Злоумышленники создают вредоносный офисный документ и подсовывают его жертве.

Самый банальный способ это сделать — прислать электронное письмо с вложением, приправив его какой-нибудь классической уловкой из арсенала социальной инженерии, убеждающей получателя открыть файл.

Что-нибудь из серии «Срочно проверьте контракт, завтра подписание».

В свою очередь, в зараженном файле имеется ссылка на HTML-файл, в котором содержится код JavaScript, запускающий в командной строке вредоносный код через MSDT. В итоге атакующие получают возможность устанавливать программы, просматривать, изменять или уничтожать данные, а также создавать новые аккаунты — то есть делать все, что позволяют привилегии пользователя, открывшего зараженный файл.

Как остаться в безопасности

Как уже было сказано в начале, патча пока нет. Так что для противодействия Microsoft рекомендует отключить протокол MSDT URL.

Для этого необходимо запустить командную строку с правами администратора и выполнить команду reg delete HKEY_CLASSES_ROOTms-msdt /f. Прежде чем это сделать, будет разумно сохранить резервную копию реестра reg export HKEY_CLASSES_ROOTms-msdt имя_файла.

В таком случае можно будет быстро восстановить реестр командой reg import имя_файла, как только нужда в этом временном решении отпадет.

Само собой, это только временная мера, и по-хорошему нужно обязательно установить обновление, закрывающее уязвимость Follina, как только оно станет доступно.

Продукты «Лаборатории Касперского» выявляют попытки эксплуатации уязвимости CVE-2022-30190. Подробную техническую информацию можно найти в блоге Securelst.

Описанные в сети методы эксплуатации данной уязвимости подразумевают применение писем с вредоносным вложением и методов социальной инженерии.

Так что мы рекомендуем с еще большей, чем обычно, осторожностью относиться к входящим письмам от неизвестных отправителей, особенно если они содержат во вложении документы MS Office.

Компаниям имеет смысл регулярно повышать осведомленность сотрудников о типичных уловках злоумышленников.

Кроме того, все устройства, имеющие доступ к Интернету, должны быть снабжены надежными защитными решениями. Даже при использовании неизвестной уязвимости они могут предотвратить запуск постороннего вредоносного кода на машине пользователя.

Серьезная уязвимость была найдена в ОС Windows

В операционной системе Windows была найдена серьезная уязвимость, которую уже начали использовать хакеры.

Компания пока не устранила саму проблему, которая может еще больше расшириться и позволить хакерам получить доступ к еще большему количеству информации.

Уязвимость системы Windows обнаружила известная компания ESET, занимающаяся разработкой различных антивирусных программ, еще 27 августа 2018 года. В ESET отследили и сообщили, что хакеры довольно активно пользуются информацией.

Уязвимость в системе Windows является отличным шансом для киберпреступников, чтобы воспользоваться ею в своих целях, поэтому за этим должен быть установлен тщательный контроль.

Но даже это не всегда помогает предупредить ситуацию, и деятельность хакеров выявляется уже непосредственно, когда проявляются сбои в системе и появляется повреждение. Оно может быть как на локальном уровне, так и на довольно масштабном — это зависит от своевременного устранения и выявления подобной ситуации.

В операционной системе windows обнаружили угрозу нулевого уровня

Угроза в системе Windows, которая была обнаружена компанией ESET, носит название угрозы «нулевого уровня». Сбой распространился не на все версии операционной системы Windows, а только на 7, 8 и 10, что уменьшает масштабы проблемы.

Сбой в системе Windows произошел из-за некорректной работы самого планировщика задач системы, и поэтому сейчас насчитывается уже много стран, где были обнаружены пользователи, столкнувшиеся с этой проблемой.

Как сообщает компания ESET, количество стран, пострадавших от хакеров, уже достигло 9, среди них Украина, Российская Федерация, Польша, Великобритания, Германия, Соединенные Штаты Америки, Филиппины, Индия и Чили. Это уже довольно много, поэтому сейчас необходимо найти решение, чтобы прекратить активную вредоносную работу хакеров.

Уязвимость в системе Windows сейчас полностью позволяет хакерам все больше повышать доступ к информации и, таким образом, переходить на администрирование, что с каждым разом увеличивает возможности расширения.

Именно в этом заключается уязвимость системы «нулевого уровня» и незамедлительного действия со стороны хакеров с целью доступа к информации. Код, который несет в себе вредоносные задачи, таким образом обеспечивает повышение прав, и хакеры с помощью определенных этапов достигают желаемой атаки.

Атака на уязвимость системы Windows проходит в два этапа

Компания ESET обнаружила группу хакеров, которые воспользовались уязвимостью в системе Windows. Ими оказались PowerPool со злоумышленными целями.

Атака на уязвимость «нулевого уровня», которую осуществляют хакеры, выполняются в два этапа. Для начала с целью ознакомления хакеры занимаются рассылкой писем с вредоносными данными, которые отмечаются как спам.

Когда пользователи включают компьютеры, те уже содержат специальную вредоносную программу для выполнения так называемой «разведки». В программу встроены функции, благодаря которым она может выполнять необходимые хакерам команды и собирать информацию. Далее все необходимое программа отсылает на специальный сервер в удаленном доступе, где ней могут свободно воспользоваться хакеры.

Второй этап заключается в том, чтобы пересмотреть всю отобранную информацию и выбрать нужные для хакеров персональные компьютеры. После того, как уже отобраны все нужные пользователи, на их компьютеры устанавливается специальная программа, которая позволяет скрытно администрировать на чужих устройствах.

Эта программа, позволяющая удаленно пользоваться данными, носит название backdoor. Пользователь не может заметить, что установился backdoor, в этом его особенность. А кроме того, он часто отсутствует в общем списке установленных и стандартных программ, что позволяет копировать и перемещать файлы.

Официальное объяснение уязвимости Windows

Компания Microsoft, которой принадлежит операционная система Windows, пока что дает крайне сдержанный комментарий о найденной уязвимости в их ОС. По мнению компании, уязвимость никак не глобальная и не архитектурного плана, как заявляет команда ESET.

В Microsoft видят проблему лишь как временную брешь безопасности с внешнего уровня, тогда как на системном уровне допустить глобальную ошибку они не могли. Устранить уязвимость американская корпорация обещает уже в ближайшем патче Windows 10.

Владельцам более старых версий рекомендуется приобретать Windows 10 или же переходить по системе бесплатных обновлений для владельцев лицензионных копий, так как Windows 7 и Windows 8 уже постепенно прекращают поддерживать обновлениями, что может быть крайне небезопасно в дальнейшем.