Инструментами, украденными у FireEye, можно взломать миллионы устройств

Инструментами, украденными у FireEye, можно взломать миллионы устройств

Инструментами, украденными у FireEye, можно взломать миллионы устройств

Уязвимости, которые используют средства пентестинга, украденные у FireEye в результате атаки на ИТ-провайдера SolarWinds, до сих пор не пропатчены на миллионах устройств. В основном это восемь известных брешей в продуктах Microsoft, заплатки для которых и альтернативные меры защиты давно опубликованы.

О краже инструментария FireEye, предназначенного для тестирования систем на устойчивость к внешним угрозам, стало известно в начале текущего месяца. Позднее этот инцидент связали с масштабным заражением в результате атаки на ИТ-сервис SolarWinds Orion.

Украденные у FireEye инструменты ориентированы на 16 известных уязвимостей в продуктах восьми вендоров — Pulse Secure, Microsoft, Fortinet, Adobe, Atlassian, Citrix, Zoho и Confluence. Ввиду риска злонамеренного использования этого арсенала эксперты Qualys решили оценить потенциальную площадь атаки по своей пользовательской базе. 

Проведенное ими исследование выявило более 7,54 млн уязвимых копий продуктов, включенных в состав 5,29 млн уникальных систем. Подавляющее большинство уязвимых экземпляров софта (99,84%) — это продукты Microsoft, содержащие какую-либо из следующих уязвимостей:

  • CVE-2020-1472 в Windows-службе Netlogon — возможность повышения привилегий, известная как Zerologon; 10 баллов по шкале CVSS;
  • CVE-2019-0604 в Microsoft Sharepoint — удаленное исполнение кода; 9,8 балла по CVSS;
  • CVE-2019-0708 в службе удаленного рабочего стола Windows — возможность удаленного исполнения кода, известная как BlueKeep; 9,8 балла;
  • CVE-2014-1812 в реализации групповых политик Active Directory — возможность повышения привилегий, 9 баллов;
  • CVE-2020-0688 в Microsoft Exchange Server — удаленное исполнение кода, 8,8 балла;
  • CVE-2016-0167 в графическом компоненте Windows — локальное повышение привилегий, 7,8 балла;
  • CVE-2017-11774 в Microsoft Outlook — удаленное исполнение кода; 7,8 балла;
  • CVE-2018-8581 в Exchange Server — повышение привилегий, 7,4 балла.

Приводя этот скромный перечень, исследователи подчеркнули: установка недостающих патчей могла бы значительно сократить площадь атаки для инструментов FireEye.

Чтобы ускорить исправление ситуации, Qualys на два месяца откроет бесплатный доступ к своему сервису управления уязвимостями. Аналогичную услугу предлагает израильская компания Vulcan Cyber. Признаки компрометации пользователи могут выявить с помощью таких защитных решений, как EDR (Endpoint Detection and Response, система обнаружения сложных угроз на конечных точках) и FIM (File Integrity Monitoring, средство мониторинга целостности файлов).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru