Максимум ущерба при минимуме усилий
16 октября 2017
Сообщения о свеженайденных уязвимостях радуют в первую очередь злоумышленников. В некоторых выпусках проекта «Антивирусная правДА!» мы много рассказывали об опасности макросов и скриптов, которые могут использоваться в документах. И рекомендовали их отключать. Но безопасен ли файл без интерактивных возможностей, которые позволяют злоумышленникам подменять текст или скрытно скачивать что-то из Интернета? Увы, даже отключение скриптов не спасает.
12 сентября 2017 года была опубликована информация об уязвимости CVE-2017-8759, которая связана с удаленным выполнением кода с использованием документов Microsoft Office.
Уязвимости CVE-2017-8759 подвержены операционные системы семейства Microsoft Windows, начиная с Windows 7. Полный перечень уязвимых ОС и компонентов представлен по ссылке.
Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft.NET Framework. В результате эксплуатации уязвимости злоумышленник получает пользовательские права на уязвимой системе.
Данная уязвимость имеет высокую степень критичности по ряду причин:
1) эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;
2) для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;
3) код эксполойта для данной уязвимости опубликован в открытом доступе в сети Интернет, и это означает, что данной уязвимостью может воспользоваться любой пользователь сети.
Возможные векторы атаки: рассылка целевого фишинга с вложением документа Microsoft Office (doc, rtf и др.) с целью установки троянской программы FINSPY (FinFisher).
Вот так: «пользователю достаточно открыть вредоносный файл». Многие верят, что при надлежащей осторожности и наличии всех обновлений они в безопасности и без антивируса. К сожалению, это не так. Неизвестные уязвимости сводят на нет все меры предосторожности. Если нет антивируса, злоумышленник получает возможность беспрепятственной доставки вредоносного кода. А антивирус – защита в том числе и от неизвестных уязвимостей.
Обратите внимание:
Уязвимость была обнаружена вследствие фиксации ряда атак с использованием ранее неизвестного эксплойта.
Согласно описанию, злоумышленник имеет возможность исполнения вредоносного кода. Подробностей об уязвимости пока нет.
#уязвимость #эксплойт #обновления_безопасностиАнтивирусная правДА! рекомендует
- Обновляться, обновляться и обновляться. Не так давно мы говорили, что киберпреступники начинают использовать уязвимости спустя 3 дня после публикации информации о них. Но это касается «дыр», информация о которых публикуется вместе с выпуском обновления. В этом случае можно и подождать с обновлением денек. Если же уязвимость нашли и используют хакеры, то обновляться нужно срочно.
- Не следует открывать подозрительные письма.
- Если вы еще этого не сделали – установите антивирус. Какова бы ни была уязвимость, он выявит вредоносный код в момент доставки на компьютер.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:41:14 2018-08-05
Неуёмный Обыватель
22:54:27 2018-06-21
vasvet
19:02:32 2018-04-08
eaglebuk
11:38:21 2017-10-18
Lia00
15:22:29 2017-10-17
Alexander
14:29:13 2017-10-17
А в том факте, что Dr.Web опознает вредоносные компоненты, в том числе и Trojan.Inject2.58114 и Exploit.CVE-2017-8759.5, я даже априори не сомневался. Вы же - лучшие!
Вячeслaв
11:48:02 2017-10-17
Alexander
11:39:23 2017-10-17
Вячeслaв
10:02:52 2017-10-17
То есть в данном случае есть уязвимость - функция программы, не в достаточной мере защищенная от хулиганов, есть некая последовательность действий (назовем это инструкцией по эксплуатации), используя которые злоумышленник может использовать данную уязвимость и есть вредоносный код, внедряемый злоумышленником путем выполнения инструкции.
Важно понять, что инструкция не равна вредоносному коду.
Соответственно вопросы:
1. может ли антивирус защитить от выполнения инструкции?
2. может ли антивирус защитить от выполнения вредоносного кода, внедряемого в следствии выполнения инструкции?
Теоретически защититься от использования уязвимости можно. Нужен некий аналог профилировщика, отслеживающего все обращения ко всем функциям программы, а также все передаваемые в функции данные. Даже закрыв глаза на то, что мы не знаем списка функций всех программ мира и описания ограничений на данные, которые им передаются. А также на то, что это будут жуткие тормоза - это путь ведущий в тупик. Так как так можно предотвратить только известные уязвимости
А вот отследить внедряемый путем использования уязвимости вредоносные программы - мы можем и отслеживаем. Но - что я пытался да вас донести. Это уже не уязвимость сама по себе, а использование уязвимости. Уязвимость одна, а внедряемого вредоносного кода может быть легион. Пока об использовании данной уязвимости (внедрения через данную уязвимость специально созданного под данную уязвимость вредоносного кода) - я не слышал. Но у нас все готово, чтобы такой код поймать
Несколько опять упрощено, но достаточно близко к реальности
Galina X
09:38:21 2017-10-17
Остальное по мере возможности.
razgen
00:39:44 2017-10-17
Подробнее: http://www.securitylab.ru/news/488499.php
В свете вышесказанного, мне кажется на публикуемую информацию об уязвимостях активнее реагируют хакеры, чем пользователи. В таком случае может быть не стоит публиковать эту информацию.
Марина
23:13:46 2017-10-16
В...а
22:31:32 2017-10-16
Andromeda
22:29:18 2017-10-16
Альфа
22:14:02 2017-10-16
vla_va
22:13:46 2017-10-16
НинаК
21:55:07 2017-10-16
ek
21:22:08 2017-10-16
duduka
21:09:28 2017-10-16
Dvakota
21:04:50 2017-10-16
Zserg
20:56:20 2017-10-16
Littlefish
20:38:36 2017-10-16
А представляете, если бы для пираток выпускали бы обновления безопасности с закрытием уязвимостей :-)
orw_mikle
20:18:21 2017-10-16
Сергей
20:06:17 2017-10-16
kozinka.ru
19:57:11 2017-10-16
1milS
19:53:37 2017-10-16
Littlefish
19:41:24 2017-10-16
Littlefish
19:38:18 2017-10-16
Почему же, экстренные обновления выпускаются, например во время эпидемии WannaCry микрософт выпустило обновление в том числе и для Windows XP.
Littlefish
19:31:29 2017-10-16
Браво, весьма образно и лирично-поэтично.
Littlefish
19:27:21 2017-10-16
Littlefish
19:20:43 2017-10-16
Шалтай Александр Болтай
19:04:30 2017-10-16
Шалтай Александр Болтай
18:58:23 2017-10-16
и т.д. в этом роде. Советы безусловно полезны!
Ruslan
18:50:16 2017-10-16
zsergey
18:02:48 2017-10-16
Alexander
17:48:56 2017-10-16
Дмитрий
17:48:05 2017-10-16
kva-kva
17:47:53 2017-10-16
Damir
17:11:18 2017-10-16
Toma
17:07:04 2017-10-16
mk.insta
16:55:43 2017-10-16
Вячeслaв
16:49:13 2017-10-16
Теперь об антивирусе. MS Outlook (скорее всего письмо будет открыто им) использует протоколы POP3/IMAP/MAPI, а в последней версии еще и HTTP. POO3/IMAP/HTTP мы анализируем до получения письма - в этом случае мы должны перехватить вредоносный код до открытия письма. Если это MAPI, то это закрытый протокол Microsoft. до конца его формат не известен, поэтому мы перехватить его не можем, письма проверяются уже плагином. Но этот формат использовался до перехода на HTTP. Есть ли он у вас - зависит от системного администратора
Поэтому ответ таков - при использовании современных протоколов мы должны перехватить вредоносное письмо до его получения
La folle
16:42:38 2017-10-16
Alexander
16:18:19 2017-10-16
Так все же, в случае получения документа Microsoft Office, несущего в себе уязвимость CVE-2017-8759, программа Dr.Web Security Space обнаружит опасность? Сумеет ее устранить? Или компания над этой проблемой еще работает? Спасибо.
Masha
15:33:08 2017-10-16
Alex_1774
15:02:57 2017-10-16
Вячeслaв
15:02:30 2017-10-16
Антивирус - это такая система защиты системы от ее уязвимостей.
Вячeслaв
14:52:33 2017-10-16
Анатолий
14:30:43 2017-10-16
vinnetou
14:13:41 2017-10-16