Вернутся на главную старницу
Новости13 июля 2017 г.

Прогноз второй волны массовых кибератак, основанных на использовании уязвимостей протокола SMB

26.05.2016

Специалисты ЦАРКА прогнозируют вторую волну массовых кибератак, основанных на использовании уязвимостей протокола SMB (Server Message Block), информация о которых была опубликована группой Shadow Brokers в прошлом месяце.

Несмотря на то, что компания Microsoft после атаки вируса WannaCry выпустила обновления по используемой им уязвимости данного протокола не только для текущих, но более того, и для неподдерживаемых в настоящее время версий операционной системы Windows, тем не менее еще как минимум три известных уязвимости этого же протокола, используемых эксплоитами EnglishmanDentist, EsteemAudit, и ExplodingCan остаются без официальных "заплаток". Так, эксплоит EsteemAudit использует уязвимость службы RDP по порту 3389 и может быть использован в составе вредоносного ПО, аналогичного WannaCry. Несмотря на утверждения компании Microsoft, что данная уязвимость отсутствует в версиях ОС Windows начиная с версии 7 и выше, тем не менее, группой enSilo выпущен неофициальный патч для данной уязвимости для версий XP и Server 2003. Высокий уровень риска определяется тем, что многие платформы критически важных систем, таких как медицинское оборудование, в том числе системы поддержания жизнеобеспечения пациентов, оборудование производства и энергетики (АСУТП, SCADA) и другие, функционируют именно на данных версиях, поскольку переход на более поздние версии ОС не предоставляется возможным по различным причинам.

Кроме того, в свободном доступе появились реализации эксплоитов, включая интеграцию в инструментарий фреймворка Metasploit, использующих уязвимость CVE-2017-7494 службы Samba, использующей тот же самый протокол SMB, которой подвержены в том числе и компьютеры, работающие под управлением ОС Linux, а также целых сегмент устройств IoT.

Обнаружено также распространение очередной модификации malware-фреймворка CobaltStrike, который, как известно, ориентирован на банковский сектор и одна из его модификаций использовалась в конце февраля - начале марта этого года для атаки на казахстанские банки.

Учитывая данные негативные тенденции, специалисты ЦАРКА настоятельно рекомендуют системным администраторам еще раз обратить внимание на настройки безопасности использования системных служб удаленного доступа, использующих данные протоколы, усилить настройки систем проактивной защиты и отключить полностью указанные службы в случае отсутствия необходимости их использования.