Информзащита выпустила рекомендации в связи с утечкой из АНБ

В пятницу 14 апреля в сети Интернет был обнаружен архив, состоящий из большого количества неизвестных до этого момента эксплойтов. Архив состоит из трех основных частей, которые относятся к операционной системе Windows, к системе международных платежей SWIFT и к некой системе ODDJOB.

В части анализа папки SWIFT можно предположить, что это копия части рабочих материалов проекта JEEPFLEA_MARKET. В ней содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

• конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например, telnet, а также признаки использования ресурсов, относящихся\подключенных к системе SWIFT;
• полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
• SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
• рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
• рабочие материалы АНБ для подготовки презентации о статусе\результатах проекта.

По результатам анализа этих материалов, эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Также удалось выяснить, что проект JEEPFLEA_MARKET стартовал в 2012 и продолжался как минимум до августа 2013 года, и в ходе проекта был получен полный доступ к ИТ-инфраструктуре исследуемой организации.

В свою очередь EastNets Group заявила, что провела полную проверку и не обнаружила уязвимостей, признаков компрометации и взлома.

Анализ папки, касающейся ОС Windows, показал, что найденные эксплойты используют множество уязвимостей, в том числе и уязвимости широко использующегося протокола SMB. Все предоставленные эксплойты доступны в сети Интернет для пользователей, не обладающих специальными навыками и знаниями.

Пример таких эксплойтов, а также закрывающих уязвимости обновлений приведен ниже:

Eclipsedwing — Удаленное выполнение кода (RCE) для SMB. Microsoft Windows 2000, Windows XP, Windows Server 2003. Обновление безопасности: MS08–67.

Educatedscholar — Удаленное выполнение кода (RCE) для SMBv2. Windows Vista (SP0, SP1), Windows Server 2008 SP2 (x64, x86). Обновление безопасности: MS09–050.

Emeraldthread — Удаленное выполнение кода (RCE) для службы очереди печати принтера через RPC. Атакующий должен быть аутентифицирован в домене. Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Обновление безопасности: MS10–061.

Eskimoroll — Эксплойт, направленный на контроллер домена и использующий Kerberos для повышения привилегий с обычного пользователя домена до доменного администратора. Windows Server 2000, 2003, 2008 и 2008 R2. Обновление безопасности: MS14–068.

Отдельно стоит отметить эксплойты, для которых обновления безопасности работают частично, либо не будут выпущены вообще:

Esteemaudit — Удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор). Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Etternalblue - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalromance - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalsynergy — Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Explodingcan — Удаленное выполнение кода (RCE) в Microsoft IIS 6. Эксплуатирует уязвимость в WebDav. Windows Server 2003. Для данной уязвимости обновление безопасности не будет выпущено.

Eternalchampion — Удаленное выполнение кода (RCE) для SMBv1. Степень подтвержденности не установлена, работает на Windows XP, 7, Windows Server 2008. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Englishmansdentist — Эксплойт Exchange/OWA. На данный момент не исследован, возможно является 0day.

Erraticgopher — Удаленное выполнение кода (RCE) в SMB. Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Компания «Информзащита» рекомендует всем организациям и банковскому сектору в частности принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности.

Особенное внимание следует уделить следующим рекомендациям:

1. До момента выпуска официального обновления безопасности от Microsoft для ОС Windows 7 и выше, запретить использование трех протоколов:

• протокол SMB ver1 и ver2
• протокол RDP
• протокол WebDAV

2. установить обновления систем безопасности для защиты внешнего периметра.
3. произвести внеочередное резервное копирование критичных информационных ресурсов
4. проверить защищенность сервисов удаленного доступа
5. выполнить сканирование ресурсов на предмет наличия указанных уязвимостей и отсутствия установленных обновлений
6. произвести внеочередную смену паролей для учетных записей с административными полномочиями, это относится также и к сетевому оборудованию, настроить безопасные методы доступа и провести аудит текущих настроек и аккаунтов.
7. обновить сигнатуры на используемых средствах защиты и проверить функционирование всех средств защиты, в частности систем сигнатурного и эвристического анализа.

В долгосрочной перспективе (НЕ более одной недели) рекомендуется рассмотреть возможность отказа от использования ОС Windows XP и Windows Server 2003, поскольку компания Microsoft больше не обеспечивает поддержку этих операционных систем и не выпускает для них обновления безопасности. В случае если это невозможно, необходимо провести мероприятия по защите операционной системы с использованием средств защиты класса IPS, антивирусов и средств защиты от таргетированных атак.