Какую уязвимость в Windows злоумышленникам проще всего использовать

Обновлено: 02.07.2024

Exploit Guard в Защитнике Windows — это новый набор функций предотвращения вторжений, который входит в состав Windows 10 Fall Creators Update. Четыре компонента Exploit Guard в Защитнике Windows предназначены для защиты устройства от широкого спектра направлений атак и блокирования поведения, обычно используемого при атаках вредоносных программ, а также позволяют предприятиям сбалансировать свои риски безопасности и требования к производительности.

Традиционные антивирусные технологии являются неотъемлемым элементом стека безопасности конечных точек благодаря идентификации и удалению вредоносных исполняемых файлов с использованием сочетания облачного машинного обучения и эвристики. Несмотря на прогресс в возможностях обнаружения вирусов, злоумышленники постоянно адаптируются и расширяют свой арсенал приемов и методов для компрометации конечных точек, кражи учетных данных и выполнения атак программ-вымогателей без необходимости записи чего-либо на диск. Эта новая тенденция бесфайловых атак, составляющих более 50% всех угроз, чрезвычайно опасна, постоянно меняется и предназначена для обхода традиционных антивирусов. Бесфайловые атаки бывают двух типов: те, которые используют нетрадиционные исполняемые файлы (например, документы с активным содержимым в них), и те, которые используют уязвимости.

Защитник Windows Exploit Guard использует возможности Microsoft Intelligent Security Graph (ISG) и исследовательской группы мирового класса в Microsoft для выявления активных эксплойтов и распространенных действий, чтобы остановить эти типы атак на различных этапах цепочки уничтожения. Хотя основная используемая уязвимость различается, механизм доставки отличается, а полезная нагрузка меняется, существует базовый набор моделей поведения и векторов, которых придерживаются многие различные атаки. Сопоставляя потоки событий с различными вредоносными действиями с помощью ISG, Exploit Guard в Защитнике Windows предоставляет возможности и элементы управления, необходимые для обработки этих типов возникающих угроз.

  • Уменьшение направлений атаки (ASR): набор элементов управления, которые предприятия могут включить для предотвращения проникновения вредоносного ПО на компьютер путем блокировки угроз, связанных с Office, скриптами и электронной почтой. Защищает конечную точку от веб-угроз, блокируя любой исходящий процесс на устройстве на ненадежные хосты/IP через SmartScreen Защитника Windows: защищает конфиденциальные данные от программ-вымогателей, блокируя доступ ненадежных процессов к вашим защищенным папкам: набор мер по устранению эксплойтов (заменяющих EMET), которые можно легко настроить для защиты вашей системы и приложения

Уменьшение площади атаки (ASR): интеллект для управления площадью поверхности устройства

Приложения электронной почты и Office, как правило, считаются краеугольным камнем производительности предприятия, однако они являются наиболее распространенным вектором атак и могут стать кошмаром для администраторов безопасности. И Office, и электронная почта служат простым и легким способом распространения механизма для злоумышленников, запускающих вредоносные программы и бесфайловые атаки. Хотя макросы и скрипты Office имеют множество продуктивных вариантов использования, злоумышленники могут использовать их для непосредственного выполнения эксплойтов, которые полностью работают в памяти и часто не обнаруживаются традиционными антивирусными методами. Все, что требуется от одного пользователя, — это включить макросы в файле Office, выглядящем законным, или открыть вложение электронной почты, выполняющее вредоносный сценарий PowerShell, чтобы скомпрометировать компьютер.

Attack Surface Reduction предоставляет предприятиям набор встроенных интеллектуальных функций, которые могут блокировать базовое поведение, используемое этими вредоносными документами, для выполнения, не мешая продуктивным сценариям. Блокируя вредоносное поведение независимо от угрозы или эксплойта, ASR может защитить предприятия от невиданных ранее атак нулевого дня, таких как недавно обнаруженные CVE-2017-8759, CVE-2017-11292 и CVE. -2017-11826.

Различные варианты поведения, предусмотренные ASR в Fall Creators Updated, разделены между Office, сценариями и электронной почтой.

Для приложений Office ASR может:

  • Запретить приложениям Office создавать исполняемый контент
  • Блокировать приложения Office от запуска дочернего процесса
  • Блокировать внедрение приложений Office в процесс
  • Блокировать импорт Win32 из кода макроса в Office
  • Блокировать запутанный код макроса

Хотя вредоносные макросы Office часто несут ответственность за использование таких методов, как внедрение и запуск исполняемых файлов, ASR также может защитить конечных пользователей от новых эксплойтов, таких как DDEDownloader, который в последнее время набирает популярность. Этот эксплойт использует всплывающее окно динамического обмена данными (DDE) в документах Office для запуска загрузчика PowerShell; однако при этом он запускает дочерний процесс, который блокируется соответствующим правилом дочернего процесса.

(Примечание. Чтобы узнать больше о параметрах безопасности, обеспечивающих безопасное открытие документов приложениями Microsoft Office с полями DDE, ознакомьтесь с рекомендациями по безопасности Microsoft 4053440.)

Для сценария ASR может:

  • Блокировка вредоносных кодов JavaScript, VBScript и PowerShell, которые были обфусцированы
  • Блокировать JavaScript и VBScript от выполнения полезной нагрузки, загруженной из Интернета

Чтобы подчеркнуть интеллектуальные возможности ASR, мы можем в качестве примера рассмотреть, как она может работать с запутанным кодом. в этом случае есть модель машинного обучения, обеспечивающая наши возможности обнаружения обфускации, которая переобучается несколько раз в неделю в нашей службе облачной защиты. Модель обновляется на клиенте, где она взаимодействует с интерфейсом сканирования на наличие вредоносных программ (AMSI), чтобы определить, был ли сценарий запутан в злонамеренных целях. При совпадении с высокой степенью достоверности любая попытка доступа к скрипту блокируется.

Для электронной почты ASR может:

  • Блокировать выполнение исполняемого содержимого, удаленного из электронной почты (веб-почта/почтовый клиент)

Администраторы предприятия могут установить политики для своей корпоративной электронной почты (например, Office 365), чтобы ограничить файлы, которые могут быть доставлены в почтовые ящики конечных пользователей. Однако они не контролируют файлы, которые доставляются по личной электронной почте на корпоративные устройства. Учитывая рост целевого фишинга, личные электронные письма сотрудников также становятся целью и нуждаются в защите. ASR позволяет администраторам предприятия применять политики файлов к личной электронной почте как для веб-почты, так и для почтовых клиентов на корпоративных устройствах.

Для любой линейки бизнес-приложений, работающих на вашем предприятии, существует возможность настроить исключения на основе файлов и папок, если ваши приложения демонстрируют необычное поведение, на которое может повлиять обнаружение ASR.


ASR зависит от антивирусной программы "Защитник Windows", которая является основным антивирусом на устройстве, и его функция защиты в реальном времени должна быть включена. В базовом плане безопасности Windows 10 рекомендуется активировать большинство правил в блочном режиме, чтобы защитить ваши устройства от этих векторов угроз.

Защита сети: блокировка исходящего соединения

В Интернете существует множество вредоносных веб-сайтов, предназначенных для заманивания и обмана пользователей. В рамках своих кампаний они используют фишинг, вводящую в заблуждение рекламу, техническое мошенничество, социальную инженерию и другие средства. Для некоторых атак они стремятся получить информацию или получить немедленную финансовую выплату, в то время как другие могут попытаться установить вредоносное ПО на машину. Часто вредоносное ПО пытается подключиться к серверу управления и контроля (C&C), чтобы получить дальнейшие инструкции и доставить дополнительные вредоносные данные, чтобы злоумышленник мог распространиться на другие компьютеры в сети.

Защитник Windows SmartScreen защищает Microsoft Edge от вредоносных программ, созданных методами социальной инженерии, фишинга и других веб-угроз с помощью интеллектуального графа безопасности (ISG). Это сделало Microsoft Edge одним из самых безопасных браузеров, обогнав Chrome и Firefox в недавних результатах тестирования защиты от фишинга, проведенного NSS Lab в период с 23 августа по 12 сентября 2017 года.

Возможность защиты сети Exploit Guard в Защитнике Windows использует ту же интеллектуальную информацию от ISG для проверки и, при необходимости, блокировки всех исходящих подключений до того, как они будут установлены. Это обеспечивает тот же уровень защиты, который мы ранее имели только для Microsoft Edge во всей системе и сетевом стеке.

Благодаря интеграции нового драйвера сетевой фильтрации в ядро ​​функция сетевой защиты может оценивать и блокировать исходящий сетевой трафик на основе имени хоста ISG и аналитики репутации, связанной с IP-адресом. Благодаря сочетанию поиска в облаке и высокопроизводительного кэширования для выполнения этих проверок репутации функция защиты сети может вывести из строя вредоносное ПО из Интернета, зависящее от канала связи.

Независимо от того, идет ли исходящий вызов к фишингу, вредоносному ПО с социальной инженерией или веб-сайту C&C, исходит ли вызов из браузера или фонового процесса, сетевая защита может перехватить и разорвать соединение. Эти возможности фильтрации также могут дополнять и работать вместе с аналогичными возможностями защиты других решений безопасности, браузеров и т. д.

Контролируемый доступ к папке

Шифрование файлов программами-вымогателями и другими неавторизованными приложениями означает потерю контроля над вашими данными: документами, ценными фотографиями и видео, а также другими важными файлами. Для предприятий и малого бизнеса потеря доступа к файлам может привести к нарушению работы. Контролируемый доступ к папкам защищает файлы, блокируя важные папки, позволяя только авторизованным приложениям получать доступ к файлам. Неавторизованным приложениям, в том числе вредоносным и подозрительным исполняемым файлам, библиотекам DLL, скриптам и т. д., будет отказано в доступе, даже если они запущены с правами пользователя или администратора, которые часто могут защитить вредоносные программы.

Контролируемый доступ к папкам.

По умолчанию контролируемый доступ к папкам защищает общие папки, в которых хранятся документы и другие важные данные, но он также является гибким. Вы можете добавить дополнительные папки для защиты, в том числе на других дисках. Вы также можете разрешить приложениям, которым вы доверяете, доступ к защищенным папкам, поэтому, если вы используете уникальное или пользовательское приложение, это не повлияет на вашу обычную повседневную производительность.

Защищенные папки.

Если этот параметр включен, контролируемый доступ к папкам блокирует несанкционированный доступ и уведомляет пользователя о любых попытках неавторизованных приложений получить доступ или изменить файлы в защищенных папках. Он обеспечивает эту защиту в режиме реального времени.

Несанкционированные изменения заблокированы.

Защита от эксплойтов

Защита от эксплойтов в Защитнике Windows представляет собой набор методов устранения уязвимостей и повышения уровня безопасности, встроенных непосредственно в Windows 10. Когда вы устанавливаете обновление Fall Creators, соответствующие параметры защиты уже будут настроены и применены на компьютере.

Покойся с миром (RIP) EMET

Пользователи Enhanced Mitigation Experience Toolkit (EMET) заметят, что он был автоматически удален с вашего компьютера во время обновления. Это связано с тем, что WDEG включает в себя лучшее из EMET, встроенное непосредственно в Windows 10, поэтому теперь это просто часть платформы. Вы можете найти предыдущий опыт пользователей по настройке возможностей устранения уязвимостей EMET в Центре безопасности Защитника Windows. Дополнительную информацию см. в статье Moving Beyond Emet II — Windows-Defender-Exploit-Guard.

На рисунке показано использование элемента управления

На рисунке показано использование элемента управления Защита от эксплойтов Центра безопасности Windows для включения фильтрации адресов (EAF) для неисправленного приложения Word 2007

Важно отметить, что защита от эксплойтов Exploit Guard принимает другой формат для настройки защиты, чем EMET. Чтобы упростить процесс перехода на Exploit Protection и Exploit Guard в Защитнике Windows, существует модуль PowerShell, который преобразует XML-файлы настроек EMET в политики смягчения рисков Windows 10 для Exploit Guard. Этот модуль PowerShell также предоставляет дополнительный интерфейс для Центра безопасности Защитника Windows для настройки параметров защиты.

Дополнительные сведения об этом модуле PowerShell, а также сведения о функциях EMET, связанных с безопасностью в Windows 10, можно найти в разделе Общие сведения о Windows 10 в связи с набором инструментов Enhanced Mitigation Experience Toolkit. Дополнительные сведения о средствах снижения угроз в Windows 10 см. в разделе «Снижение угроз для Windows 10». Наконец, базовый уровень безопасности Windows 10 содержит рекомендуемый для применения XML-файл защиты от эксплойтов.

Управляемость Exploit Guard в Защитнике Windows

Всеми компонентами Exploit Guard в Защитнике Windows можно управлять с помощью групповой политики (GP), System Center Configuration Manager (SCCM) и управления мобильными устройствами (MDM), таких как Microsoft Intune.

Управляемость Exploit Guard в Защитнике Windows.

Все компоненты поддерживают работу в режимах аудита и блокировки. Когда режим блокировки включен и наблюдается соответствующее вредоносное поведение, Exploit Guard в Защитнике Windows блокирует возникновение события в режиме реального времени. Блокировка событий для сокращения направлений атак, контролируемого доступа к папкам и защиты сети отображает всплывающее уведомление на конечную точку в режиме реального времени, а также журнал событий, и может быть централизованно просмотрена персоналом службы безопасности в Advanced Threat Protection Защитника Windows (Защитник Windows спс) консоль. Вместо того, чтобы фактически блокировать поведение, режим аудита определяет, могло ли произойти событие, и передает эту информацию в журнал событий и консоль WD ATP. Это позволяет предприятиям оценить, как правило или функция Exploit Guard в Защитнике Windows будут работать на их предприятии, и определить, есть ли исключения, необходимые для настройки.Кроме того, режим аудита предоставляет огромное количество информации о том, какие виды поведения происходят на предприятии, предоставляя ценную информацию администраторам безопасности, чтобы определить, нужно ли перевести правило в режим блокировки.

Расширенная защита от угроз Защитника Windows

Windows Defender ATP предоставляет единую панель управления и просмотра всех каналов безопасности и событий, происходящих на управляемых конечных точках предприятия. С помощью ATP в Защитнике Windows все выполнение дерева процессов можно увидеть для событий Exploit Guard, что позволяет чрезвычайно легко определить, что произошло, чтобы можно было выполнить правильный ответ. На рисунке ниже вы можете увидеть пример того, как вредоносный документ в Word использовался для удаления исполняемого файла, который затем блокировался при попытке доступа к папке C:\Demo.

Расширенная защита от угроз Защитника Windows.

Контролируемый доступ к папкам, блокирующий образец программы-вымогателя

Сетевая защита блокирует проверку на фишинг через браузер Chrome.

Проверка защиты от фишинга через браузер Chrome

Exploit Guard также отображается на информационной панели Security Analytics консоли ATP в Защитнике Windows, что позволяет предприятиям просматривать, как эта функция настроена на их устройствах, и обеспечивать соответствие рекомендациям, основанным на передовых конфигурациях безопасности.

Защитник Windows от эксплойтов.

В конце концов, Exploit Guard в Защитнике Windows — одна из самых важных новых средств защиты, которые мы добавили в Windows 10 в обновлении Fall Creators. Во многих отношениях он дополняет наш стек для превентивной защиты. Организации, которые развертывают его вместе с антивирусной программой "Защитник Windows", обнаружат, что у них есть высокоэффективное и дифференцированное решение для борьбы с современными бесфайловыми атаками и вторжением в хост. Мы рекомендуем вам оценить его при первой же возможности и с нетерпением ждем ваших отзывов.

Чтобы проверить, как ATP в Защитнике Windows может помочь вашей организации обнаруживать, расследовать сложные атаки и реагировать на них, подпишитесь на бесплатную пробную версию.

Новое исследование показывает, как злоумышленники могут злоупотреблять контрольными вопросами в Windows 10 для сохранения привилегий домена.

Злоумышленники, нацеленные на Windows, обычно используют права администратора домена. Как говорят исследователи, встроенная в Windows функция контрольных вопросов может помочь им сохранить ее.

В презентации на конференции Black Hat Europe, которая прошла на этой неделе, исследователи безопасности из Illusive Networks продемонстрировали новый метод обеспечения сохраняемости домена с помощью контрольных вопросов Windows 10. Несмотря на благие намерения, эта функция, представленная в апреле, может превратиться в прочный и малозаметный бэкдор для злоумышленников, которые знают, как ее использовать.

Администраторам Windows предлагается настроить контрольные вопросы в рамках процесса настройки учетной записи Windows 10. Том Села, руководитель отдела исследований в области безопасности в Illusive Networks, сказал, что это дополнение отражает более широкие усилия Microsoft по обеспечению безопасности в Windows 10. Однако оно также показывает, что компании должны соблюдать тонкий баланс, сохраняя удобство использования и улучшая защиту.

"Я думаю, что Microsoft также хочет представить новые функции удобства использования", — объяснил Села в интервью Dark Reading. "Существует тонкая грань между улучшением безопасности и добавлением новых удобных функций, которые могут поставить под угрозу безопасность".

Магал Баз, исследователь безопасности в Illusive Networks, сказал, что вопросы больше связаны с удобством использования, разработанным для удобства, чем с механизмом безопасности. Сегодня, если вы забудете свой пароль для входа в Windows, ваш компьютер будет заблокирован, и вам придется переустанавливать операционную систему, чтобы восстановить доступ, сказал он. Функция вопросов позволяет пользователям снова войти в свои учетные записи, указав, например, имя своего первого питомца вместо пароля.

"Теперь с точки зрения безопасности. Я не думаю, что он хорошо защищен", — пояснил он. Поскольку эти вопросы и ответы имеют ту же силу, что и пароль, можно подумать, что они будут такими же безопасными. Однако, в отличие от паролей, ответы на секретные вопросы не длинные и сложные, срок их действия не ограничен и большую часть времени они не меняются. «Все ограничения, которые делают пароли более безопасными, не применяются к секретным вопросам», — отметил Баз.

Помимо ответов, которые можно найти в социальных сетях, контрольные вопросы «не отслеживаются.Для этого нет никаких политик — оно просто есть, — продолжил он. — Оно позволяет восстановить доступ к локальной административной учетной записи». Есть причина, по которой компании, включая Facebook и Google, перестали использовать контрольные вопросы для защиты учетных записей, добавил Баз.

Открытие ответов администраторов
Прежде чем описывать, как работает этот подход, важно сначала добавить контекст. В последние годы злоумышленники искали не только доступ к домену, но и средства поддержания надежного и скрытого профиля в домене. Баз добавил, что процесс становления администратором домена стал намного проще. "Пару лет назад считалось, что на это могут уйти месяцы, а сейчас это сократилось до нескольких часов", – говорит он.

Чтобы превратить функцию вопросов в лазейку, злоумышленник должен сначала найти способ включать и редактировать контрольные вопросы и ответы удаленно, без необходимости выполнения кода на целевом компьютере. Злоумышленник также должен найти способ использовать предустановленные вопросы и ответы, чтобы получить доступ к машине, оставив как можно меньше следов, объяснили Баз и Села в своей презентации.

Контрольные вопросы и ответы Windows 10 хранятся как секреты LSA, где Windows хранит пароли и другие данные для повседневных операций. Имея административный доступ к реестру, можно читать и записывать секреты LSA. Можно изменить контрольные вопросы и ответы пользователя, установив бэкдор для доступа к той же системе в будущем.

Злоумышленник может удаленно использовать эту функцию для всех без исключения компьютеров с Windows 10 в домене, чтобы управлять контрольными вопросами и ответами по своему выбору, — сказал Баз. Последствия для кого-то, злоупотребляющего этим без ведома владельца учетной записи, огромны. В отличие от паролей, срок действия которых со временем истекает и которые можно изменить в любое время, вопросы безопасности статичны. Имя вашего первого питомца или девичья фамилия матери, например, не меняются, указал Баз.

Села и Баз описали варианты использования, в которых эта тактика может быть полезна злоумышленнику. Кто-то может «распылить» контрольные вопросы на все компьютеры с Windows 10 и обеспечить постоянное удержание в сети, убедившись, что у каждой собаки есть имя Пушистый, а Пушистый — это имя места рождения каждого, места встречи их родителей, модели их первой машины и т. д. .

Более того, контрольные вопросы и ответы не защищены должным образом. «Вопросы сегодня не отслеживаются, не меняются. Вероятно, большинство ИТ-админов даже не подозревают об их существовании в настоящее время», — продолжил Баз. «Последствия . на данный момент [являются] постоянным доступом ко всем компьютерам с Windows 10 в сети довольно легко и низкопрофильным образом».

Секретные вопросы также не связаны с возможностями аудита, добавил Села. «Даже [для] ИТ-администраторов, которые хотели бы знать об этом, Windows по умолчанию не дает им возможности отслеживать статус этих контрольных вопросов».

Передовые практики и удаление секретных вопросов
Администраторы должны постоянно следить за секретными вопросами, чтобы убедиться, что они уникальны, или отключать их, периодически изменяя их на случайные значения, – сказали Баз и Села.

"Даже до вопроса о секретных вопросах рекомендуется иметь в сети как можно меньше локальных администраторов", – сказал Баз.

Администраторы безопасности недовольны этим инструментом, говорят исследователи, отмечая, как много людей ищут способы избавиться от него. В рамках своей презентации Баз и Села также поделились разработанным ими инструментом с открытым исходным кодом, который может контролировать или отключать функцию контрольных вопросов и снижать риск использования вопросов в качестве бэкдора на компьютере с Windows 10.

Похожий контент:

  • Бэкдоров стало больше на 44 %, программ-вымогателей – на 43 % больше, чем в 2017 году.
  • Министерство безопасности и ФБР выпускают рекомендации SamSam
  • Праздничные лайфхаки: 6 киберугроз, на которые стоит обратить внимание прямо сейчас
  • MITRE меняет правила игры в тестировании продуктов безопасности

Будьте в курсе последних угроз кибербезопасности, недавно обнаруженных уязвимостей, информации об утечках данных и новых тенденциях. Доставляется ежедневно или еженедельно прямо в ваш почтовый ящик.

Одна простая вещь может помочь остановить подавляющее большинство таких атак, считают исследователи.

Дэнни Палмер – старший репортер ZDNet. Живя в Лондоне, он пишет о таких проблемах, как кибербезопасность, хакерские атаки и вредоносные программы.

Особая функция

Выигрышная стратегия кибербезопасности

Самые умные компании теперь подходят к кибербезопасности со стратегией управления рисками. Узнайте, как создавать политики для защиты ваших самых важных цифровых активов.

Уязвимости безопасности в программном обеспечении Microsoft стали еще более популярным средством атаки киберпреступников, но уязвимость Adobe Flash по-прежнему занимает второе место среди наиболее часто используемых эксплойтов хакерскими группами.

Проведенный исследователями Recorded Future анализ наборов эксплойтов, фишинговых атак и вредоносных троянских программ, развернутых в 2018 году, показал, что в течение года чаще всего использовались недостатки в продуктах Майкрософт, на которые приходилось восемь из десяти основных уязвимостей. Эта цифра выросла с семи в предыдущем году. Исправления доступны для всех недостатков в списке, но не все пользователи удосуживаются их применить, что делает их уязвимыми.

Double Kill был включен в четыре самых мощных набора эксплойтов, доступных киберпреступникам — RIG, Fallout, KaiXin и Magnitude — и они помогли доставить некоторые из самых известных форм банковских троянов и программ-вымогателей ничего не подозревающим жертвам.

Раньше киберпреступники чаще всего использовали эксплойты Adobe, но по мере приближения 2020 года они, похоже, исчезают.

SEE: Выигрышная стратегия кибербезопасности (специальный отчет ZDNet) | Загрузите отчет в формате PDF (TechRepublic)

Третье место в списке наиболее часто используемых уязвимостей занимает CVE-2017-11882. Обнародованная в декабре 2016 года, эта уязвимость системы безопасности в Microsoft Office позволяет запускать произвольный код при открытии злонамеренно измененного файла, подвергая пользователей риску попадания вредоносного ПО на их компьютер.

Эта уязвимость связана с рядом вредоносных кампаний, в том числе с трояном QuasarRAT, многочисленным ботнетом Andromeda и другими.

Лишь несколько уязвимостей остаются в первой десятке из года в год. CVE-2017-0199 — уязвимость в Microsoft Office, которую можно использовать для получения контроля над уязвимой системой — была наиболее часто используемой киберпреступниками в 2017 году, но в 2018 году опустилась на пятое место.

CVE-2016-0189 заняла первое место в рейтинге уязвимостей в 2016 году и второе место в 2017 году и по-прежнему входит в число наиболее часто используемых эксплойтов. Нулевой день в Internet Explorer по-прежнему актуален спустя почти три года после его первого появления, что свидетельствует о реальной проблеме, связанной с тем, что пользователи не устанавливают обновления для своих браузеров.

Применение соответствующих исправлений к операционным системам и приложениям может иметь большое значение для защиты организаций от некоторых наиболее распространенных кибератак, а также наличие некоторой информации о потенциальных рисках, связанных с кибератаками.

"Главным выводом является важность понимания уязвимостей, активно продаваемых и эксплуатируемых на подпольных форумах и форумах даркнета", – сказала ZDNet Кэтлин Кучма, инженер по продажам Recorded Future.

"Хотя идеальной ситуацией было бы исправление всего, наличие точной картины того, какие уязвимости влияют на наиболее важные системы компании, в сочетании с тем, какие уязвимости активно эксплуатируются или находятся в разработке, позволяет командам по управлению уязвимостями лучше расставлять приоритеты по наиболее важным места для исправления», — добавила она.

Единственной уязвимостью, не принадлежащей Microsoft, в списке, помимо уязвимости Adobe, является CVE-2015-1805: уязвимость ядра Linux, которая часто используется для атаки на Android-смартфоны с помощью вредоносного ПО.

Корпорация Microsoft предупреждает, что злоумышленники используют ранее неизвестную уязвимость в Windows 10 и многих версиях Windows Server, чтобы захватить контроль над компьютерами, когда пользователи открывают вредоносный документ или посещают заминированный веб-сайт. В настоящее время нет официального исправления для этой уязвимости, но Microsoft выпустила рекомендации по устранению угрозы.


Согласно бюллетеню по безопасности из Редмонда, уязвимость CVE-2021-40444 затрагивает компонент MSHTML в Internet Explorer (IE) в Windows 10 и многих версиях Windows Server. IE постепенно отказывается от более поздних браузеров Windows, таких как Edge, но тот же уязвимый компонент также используется приложениями Microsoft Office для отображения веб-контента.

«Злоумышленник может создать вредоносный элемент управления ActiveX, который будет использоваться документом Microsoft Office, в котором размещен механизм рендеринга браузера», — пишет Microsoft. «Злоумышленник затем должен убедить пользователя открыть вредоносный документ. Пользователи, чьи учетные записи настроены так, чтобы иметь меньше прав пользователя в системе, могут быть менее затронуты, чем пользователи, которые работают с правами администратора».

Microsoft еще не выпустила исправление для CVE-2021-40444, но сообщает, что пользователи могут уменьшить угрозу, связанную с этой уязвимостью, отключив установку всех элементов управления ActiveX в IE. Microsoft заявляет, что уязвимость в настоящее время используется в целевых атаках, хотя в ее бюллетене сообщается о уязвимости трем разным организациям.

Один из упомянутых исследователей — EXPMON — заявил в Твиттере, что воспроизвел атаку на последнюю версию Office 2019/Office 365 в Windows 10.

«Экплойт использует логические ошибки, поэтому эксплойт абсолютно надежен (и опасен)», — написал EXPMON в Твиттере.

Пользователи Windows смогут увидеть официальное исправление ошибки уже 14 сентября, когда Microsoft планирует выпустить свой ежемесячный пакет обновлений безопасности «Вторник исправлений».

Этот год был тяжелым для пользователей Windows и так называемых угроз «нулевого дня», которые относятся к уязвимостям, которые не исправлены текущими версиями рассматриваемого программного обеспечения и активно используются для взлома уязвимых компьютеров. .

Практически каждый месяц в 2021 году Microsoft была вынуждена реагировать на угрозы нулевого дня, нацеленные на огромное количество ее пользователей. На самом деле, по моим подсчетам, май был единственным месяцем в этом году, когда Microsoft не выпустила патч для устранения хотя бы одной атаки нулевого дня в Windows или поддерживаемом программном обеспечении.

Многие из этих нулевых дней связаны с более старыми технологиями Microsoft или технологиями, которые были упразднены, например IE11; В прошлом месяце Microsoft официально прекратила поддержку приложений и сервисов Microsoft Office 365 в IE11. В июле Microsoft срочно выпустила исправление для уязвимости Print Nightmare, которая присутствовала во всех поддерживаемых версиях Windows, только для того, чтобы увидеть, что исправление вызывает проблемы у ряда пользователей Windows.

В июньском выпуске исправлений Microsoft устранила шесть уязвимостей нулевого дня в системе безопасности. И, конечно же, в марте сотни тысяч организаций, использующих почтовые серверы Microsoft Exchange, обнаружили, что эти системы скомпрометированы бэкдорами благодаря четырем уязвимостям нулевого дня в Exchange.

Эта запись была опубликована в среду, 8 сентября 2021 г., 11:03

Читайте также: