Информзащита выпустила рекомендации в связи с утечкой из АНБ

Александр Панасенко 17 Апреля 2017 - 14:01

...

В пятницу 14 апреля в сети Интернет был обнаружен архив, состоящий из большого количества неизвестных до этого момента эксплойтов. Архив состоит из трех основных частей, которые относятся к операционной системе Windows, к системе международных платежей SWIFT и к некой системе ODDJOB.

В части анализа папки SWIFT можно предположить, что это копия части рабочих материалов проекта JEEPFLEA_MARKET. В ней содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например, telnet, а также признаки использования ресурсов, относящихся\подключенных к системе SWIFT;
полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
рабочие материалы АНБ для подготовки презентации о статусе\результатах проекта.

По результатам анализа этих материалов, эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Также удалось выяснить, что проект JEEPFLEA_MARKET стартовал в 2012 и продолжался как минимум до августа 2013 года, и в ходе проекта был получен полный доступ к ИТ-инфраструктуре исследуемой организации.

В свою очередь EastNets Group заявила, что провела полную проверку и не обнаружила уязвимостей, признаков компрометации и взлома.

Анализ папки, касающейся ОС Windows, показал, что найденные эксплойты используют множество уязвимостей, в том числе и уязвимости широко использующегося протокола SMB. Все предоставленные эксплойты доступны в сети Интернет для пользователей, не обладающих специальными навыками и знаниями.

Пример таких эксплойтов, а также закрывающих уязвимости обновлений приведен ниже:

Eclipsedwing — Удаленное выполнение кода (RCE) для SMB. Microsoft Windows 2000, Windows XP, Windows Server 2003. Обновление безопасности: MS08–67.

Educatedscholar — Удаленное выполнение кода (RCE) для SMBv2. Windows Vista (SP0, SP1), Windows Server 2008 SP2 (x64, x86). Обновление безопасности: MS09–050.

Emeraldthread — Удаленное выполнение кода (RCE) для службы очереди печати принтера через RPC. Атакующий должен быть аутентифицирован в домене. Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Обновление безопасности: MS10–061.

Eskimoroll — Эксплойт, направленный на контроллер домена и использующий Kerberos для повышения привилегий с обычного пользователя домена до доменного администратора. Windows Server 2000, 2003, 2008 и 2008 R2. Обновление безопасности: MS14–068.

Отдельно стоит отметить эксплойты, для которых обновления безопасности работают частично, либо не будут выпущены вообще:

Esteemaudit — Удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор). Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Etternalblue - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalromance - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalsynergy — Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Explodingcan — Удаленное выполнение кода (RCE) в Microsoft IIS 6. Эксплуатирует уязвимость в WebDav. Windows Server 2003. Для данной уязвимости обновление безопасности не будет выпущено.

Eternalchampion — Удаленное выполнение кода (RCE) для SMBv1. Степень подтвержденности не установлена, работает на Windows XP, 7, Windows Server 2008. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Englishmansdentist — Эксплойт Exchange/OWA. На данный момент не исследован, возможно является 0day.

Erraticgopher — Удаленное выполнение кода (RCE) в SMB. Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Компания «Информзащита» рекомендует всем организациям и банковскому сектору в частности принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности.

Особенное внимание следует уделить следующим рекомендациям:

До момента выпуска официального обновления безопасности от Microsoft для ОС Windows 7 и выше, запретить использование трех протоколов:

протокол SMB ver1 и ver2
протокол RDP
протокол WebDAV

установить обновления систем безопасности для защиты внешнего периметра.
произвести внеочередное резервное копирование критичных информационных ресурсов
проверить защищенность сервисов удаленного доступа
выполнить сканирование ресурсов на предмет наличия указанных уязвимостей и отсутствия установленных обновлений
произвести внеочередную смену паролей для учетных записей с административными полномочиями, это относится также и к сетевому оборудованию, настроить безопасные методы доступа и провести аудит текущих настроек и аккаунтов.
обновить сигнатуры на используемых средствах защиты и проверить функционирование всех средств защиты, в частности систем сигнатурного и эвристического анализа.

В долгосрочной перспективе (НЕ более одной недели) рекомендуется рассмотреть возможность отказа от использования ОС Windows XP и Windows Server 2003, поскольку компания Microsoft больше не обеспечивает поддержку этих операционных систем и не выпускает для них обновления безопасности. В случае если это невозможно, необходимо провести мероприятия по защите операционной системы с использованием средств защиты класса IPS, антивирусов и средств защиты от таргетированных атак.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Мая 2025 - 09:50

Соответствие законодательству РФ Общее

Правительство возобновило финансирование значимых ИТ-проектов

Правительство России возобновило финансирование центров компетенций по импортозамещению программного обеспечения. До конца текущего года на эти цели выделят 3,2 млрд рублей, а общий объем финансирования до 2027 года составит 33 млрд рублей.

При этом средства будут направлены не разработчикам, а так называемым якорным заказчикам.

О возобновлении поддержки значимых ИТ-проектов сообщил «КоммерсантЪ» со ссылкой на аппарат первого вице-премьера Дмитрия Григоренко. Возможность такой меры ранее анонсировал сам вице-премьер.

В общей сложности до конца 2027 года планируется реализовать 49 проектов на сумму 33 млрд рублей. Из них 3,2 млрд рублей будут направлены разработчикам через РФРИТ и «Сколково» до 1 июня 2025 года. Основной объем финансирования получат компании — якорные заказчики, такие как «Автотор», «ДСТ-Урал» и «Ростелеком».

Получатели грантов смогут перенести сроки реализации проектов, но не более чем на полгода. В случае нарушений предусмотрены санкции, однако их конкретные формы пока не раскрываются.

О старте второй волны финансирования программ импортозамещения премьер-министр Михаил Мишустин объявил ещё на конференции ЦИПР в 2023 году. Однако реализация программы была приостановлена после задержания заместителя министра цифрового развития Максима Паршина по делу о получении взятки за содействие в выделении средств. 28 апреля 2025 года он был осуждён на 9 лет лишения свободы с отбыванием наказания в колонии строгого режима.

Как сообщили изданию в Минцифры, финансирование направят на разработку промышленного ПО, на которое сегодня существует высокий спрос со стороны потенциальных заказчиков. В «Ростелекоме» уточнили, что компания заинтересована в оборудовании для транспортных сетей связи.

«Одно из приоритетных направлений финансирования — машиностроение. Эта отрасль демонстрирует высокую динамику и интерес к таким классам решений, как ERP, PLM и другим», — прокомментировала заместитель генерального директора «ТопС Бизнес Интегратор» Светлана Леонова.

Тем не менее, разработчики неохотно пользовались средствами РФРИТ из-за сложной и жёсткой отчётности.

«Компаниям, получающим средства из фонда, необходимо было отчитываться не только о разработке ПО, но и о его коммерциализации. При недостаточной коммерциализации средства подлежали возврату. Однако сейчас спрос на ПО сложно прогнозировать, что создавало высокие риски», — отметил председатель совета директоров «Базальт СПО» и член правления АРПП «Отечественный софт» Алексей Смирнов.

Исполнительный директор АРПП «Отечественный софт» Ренат Лашин связывает переход к финансированию заказчиков с тем, что задача создания отечественных аналогов зарубежного ПО в целом решена. Теперь более актуальной становится задача масштабирования и внедрения этих решений в смежных отраслях — в том числе через предоставление заказчикам льготных кредитов, субсидий, налоговых вычетов и других форм поддержки.

Информзащита выпустила рекомендации в связи с утечкой из АНБ

Читайте также