«Информзащита» составила перечень действий по обеспечению информационной безопасности в связи с утечкой возможного инструментария АНБ

В пятницу 14 апреля в сети Интернет был обнаружен архив, состоящий из большого количества неизвестных до этого момента эксплойтов.

Архив состоит из трех основных частей, которые относятся к операционной системе Windows, к системе международных платежей SWIFT и к некой системе ODDJOB.

В части анализа папки SWIFT можно предположить, что это копия части рабочих материалов проекта JEEPFLEA_MARKET. В ней содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

•  конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например, telnet, а также признаки использования ресурсов, относящихся\подключенных к системе SWIFT;
• полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
• SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
• рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
• рабочие материалы АНБ для подготовки презентации о статусе\результатах проекта.

По результатам анализа этих материалов, эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Также удалось выяснить, что проект JEEPFLEA_MARKET стартовал в 2012 и продолжался как минимум до августа 2013 года, и в ходе проекта был получен полный доступ к ИТ-инфраструктуре исследуемой организации.

В свою очередь EastNets Group заявила, что провела полную проверку и не обнаружила уязвимостей, признаков компрометации и взлома.

Анализ папки, касающейся ОС Windows, показал, что найденные эксплойты используют множество уязвимостей, в том числе и уязвимости широко использующегося протокола SMB. Все предоставленные эксплойты доступны в сети Интернет для пользователей, не обладающих специальными навыками и знаниями. Пример таких эксплойтов, а также закрывающих уязвимости обновлений приведен ниже:

• Eclipsedwing — удаленное выполнение кода (RCE) для SMB. Microsoft Windows 2000, Windows XP, Windows Server 2003. Обновление безопасности: MS08–67.
• Educatedscholar — удаленное выполнение кода (RCE) для SMBv2. Windows Vista (SP0, SP1), Windows Server 2008 SP2 (x64, x86). Обновление безопасности: MS09–050.
• Emeraldthread — удаленное выполнение кода (RCE) для службы очереди печати принтера через RPC. Атакующий должен быть аутентифицирован в домене. Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Обновление безопасности: MS10–061.
• Eskimoroll — эксплойт, направленный на контроллер домена и использующий Kerberos для повышения привилегий с обычного пользователя домена до доменного администратора. Windows Server 2000, 2003, 2008 и 2008 R2. Обновление безопасности: MS14–068.

Отдельно стоит отметить эксплойты, для которых обновления безопасности работают частично, либо не будут выпущены вообще:

• Esteemaudit — удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор). Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.
• Etternalblue - удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.
• Eternalromance - удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.
• Eternalsynergy — удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.
• Explodingcan — удаленное выполнение кода (RCE) в Microsoft IIS 6. Эксплуатирует уязвимость в WebDav. Windows Server 2003. Для данной уязвимости обновление безопасности не будет выпущено.
• Eternalchampion — удаленное выполнение кода (RCE) для SMBv1. Степень подтвержденности не установлена, работает на Windows XP, 7, Windows Server 2008. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.
• Englishmansdentist — эксплойт Exchange/OWA. На данный момент не исследован, возможно является 0day.
• Erraticgopher — удаленное выполнение кода (RCE) в SMB. Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Компания «Информзащита» рекомендует всем организациям и банковскому сектору в частности принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности.

Особенное внимание следует уделить следующим рекомендациям:

1. до момента выпуска официального обновления безопасности от Microsoft для ОС Windows 7 и выше, запретить использование трех протоколов:

• протокол SMB ver1 и ver2
• протокол RDP
• протокол WebDAV

2. установить обновления систем безопасности для защиты внешнего периметра;
3. произвести внеочередное резервное копирование критичных информационных ресурсов;
4. проверить защищенность сервисов удаленного доступа;
5. выполнить сканирование ресурсов на предмет наличия указанных уязвимостей и отсутствия установленных обновлений;
6. произвести внеочередную смену паролей для учетных записей с административными полномочиями, это относится также и к сетевому оборудованию, настроить безопасные методы доступа и провести аудит текущих настроек и аккаунтов;
7. обновить сигнатуры на используемых средствах защиты и проверить функционирование всех средств защиты, в частности систем сигнатурного и эвристического анализа.

В долгосрочной перспективе (НЕ более одной недели) рекомендуется рассмотреть возможность отказа от использования ОС Windows XP и Windows Server 2003, поскольку компания Microsoft больше не обеспечивает поддержку этих операционных систем и не выпускает для них обновления безопасности. В случае если это невозможно, необходимо провести мероприятия по защите операционной системы с использованием средств защиты класса IPS, антивирусов и средств защиты от таргетированных атак.

«Команда экспертов «Информзащиты» готова проконсультировать все компании, обеспокоенные сложившейся ситуацией, по вопросам рисков и угроз, а также оперативно обеспечить защиту их инфраструктуры, - комментирует технический директор компании Евгений Климов. «Security Operation Center «Информзащиты» гарантирует быстрое определение уровня защищенности, тщательный мониторинг 24/7 и своевременное реагирование на такого рода события».

Текущим клиентам специалисты «Информзащиты» по запросу готовы разослать отдельные рекомендации по настройке их систем безопасности.