HP опубликовала исследование об эксплуатации злоумышленниками уязвимости нулевого дня для атаки на компании
20, октябрь 2021 Компания HP Inc. опубликовала глобальный отчет HP Wolf Security Threat Insights Report с анализом кибератак за третий квартал 2021 года . Экспертам удалось выявить методы и инструменты злоумышленников для обхода средств защиты от взлома . Специалисты из HP Wolf Security изучили участившиеся случаи использования киберпреступниками уязвимостей нулевого дня . Эксплойты CVE-2021-40444 (1) построены на удаленном исполнении вредоносного кода на компьютере жертвы . Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности HP 8 сентября , за неделю до выпуска очередного обновления . Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию , предназначенную для автоматизации создания этого эксплойта . В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями . Эксплойт использует вредоносный архивный файл , который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие - либо макросы для его предварительного просмотра . Открытия проводника достаточно , чтобы инициировать атаку , о которой владелец устройства зачастую даже не будет подозревать . После взлома устройства злоумышленники могут установить в системы бэкдоры , которые могут быть проданы , например , другим преступным группам , использующим вредоносные программы с требованием выкупа . Среди других заметных угроз , которые выделили специалисты HP Wolf Security, можно отметить :
« Среднее время , которое требуется компаниям для применения , тестов и внедрения патчей безопасности с соответствующими проверками , составляет 97 дней , что дает киберпреступникам возможность использовать это « окно уязвимости ». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры , но появление скриптов для автоматизации написания кода снизило порог вхождения , сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников . Это существенно увеличивает риск для бизнеса , поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка , например , в Даркнете , – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security, HP Inc. – Подобные новые уязвимости , как правило , не отслеживаются средствами обнаружения , поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта . Мы ожидаем , что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников , возможно , даже заменит собой распространенные вредоносные программы , используемые сегодня для первоначального получения доступа к системам , например , те , которые задействуют уязвимость в Equation Editor». « Мы также видим , что хакеры проводят атаки типа flash in the pan (« однодневки »), используя такие крупные платформы , как OneDrive. Хотя вредоносные программы , размещенные на подобных платформах , как правило , быстро удаляются , это не сдерживает натиск злоумышленников , ведь они зачастую достигают своей цели по доставке вредоносного ПО на компьютеры жертвы даже за те несколько часов , пока активны ссылки , – продолжает Холланд . – Некоторые злоумышленники каждые несколько месяцев меняют скрипт или тип используемых файлов . Вредоносные файлы JavaScript и HTA не являются чем - то новым , но они по - прежнему попадают в почтовые ящики сотрудников , подвергая компании риску . В ходе одной из кампаний злоумышленники использовали червя Vengeance Justice Worm, который может распространяться на другие системы и USB- накопители ». Программное обеспечение HP Wolf Security отслеживает вредоносные программы , запуская приложения на изолированных микровиртуальных машинах (micro VMs), чтобы зафиксировать и понять всю цепочку заражения , помогая тем самым минимизировать угрозы , которые не были обнаружены другими инструментами безопасности . Это позволило клиентам HP открыть более 10 миллиардов вложений электронной почты , веб - страниц и загрузок без каких - либо утечек или нарушений безопасности (2). Лучше понимая поведение вредоносных программ в реальных условиях , исследователи и инженеры HP Wolf Security получают возможность усилить защиту клиентских устройств и повысить общий уровень устойчивости систем . Среди основных выводов исследования , основанных на данных , полученных с миллионов устройств , на которых работает HP Wolf Security, можно отметить следующие :
« Мы уже не можем полагаться только лишь на обнаружение угроз , чей ландшафт слишком динамичен , и , как мы видим из анализа угроз , зафиксированных в наших виртуальных машинах , злоумышленники все лучше умеют уходить от обнаружения , – комментирует д - р Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP Inc. – Организациям необходим многоуровневый подход к безопасности конечных точек , который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак , в том числе атак через электронную почту , браузеры и загрузки . Это позволит свести к минимуму вероятность атак для целых классов угроз , предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес - процессов ». Подробнее о данных Данные , используемые в настоящем отчете , были собраны с виртуальных машин пользователей HP Wolf Security в период с июля по сентябрь 2021 года . О компании HP Inc. HP Inc. создает технологии , которые делают жизнь лучше — для всех и повсюду . Возможности , которые открывают перед пользователями наши персональные системы , ИТ - услуги , принтеры и решения для 3D- печати , поражают воображение . С дополнительной информацией о компании HP Inc. можно ознакомиться на сайте http://www.hp.ru/ О HP Wolf Security HP Wolf Security — новое поколение средств защиты конечных устройств от производителя самых защищённых в мире компьютеров (4) и принтеров (5). Портфель аппаратных средств защиты HP и сервисов безопасности , ориентированных на конечные устройства , призван помочь организациям защитить ПК , принтеры и сотрудников от сетевых злоумышленников . HP Wolf Security обеспечивает комплексную защиту конечных устройств и повышает отказоустойчивость , охватывая все уровни инфраструктуры , от оборудования до ПО и сервисов (6). (1) Microsoft благодарит исследователей безопасности Рика Коула (Rick Cole) из MSTIC, Дханеша Кижаккинана (Dhanesh Kizhakkinan) из Mandiant, Хайфея Ли (Haifei Li) из EXPMON и Брюса Абдо (Bryce Abdo) из Mandiant за обнаружение уязвимостей нулевого дня. (2) Заявления основаны на внутреннеманализе HP , выполненном по отчетам клиентов, а также исходя из установленной пользовательской базы. (3) На основе впервые зафиксированных данных от различныхантивирусных движков. (4) Исходя из уникальных и комплексных возможностей безопасности HP, доступных без дополнительной оплаты на компьютерах HPElitePCs под управлением операционной системы Windows на базе процессоров Intel® от 8-го поколения и новее или процессоров AMDRyzen™ 4000 и выше; HPProDesk 600 G6 на базе процессоров Intel® 10-го поколения и выше и на HP ProBook 600 с процессорами AMDRyzen™ 4000 или Intel® 11-го поколения и выше. (5) Самые передовые встроенные функции безопасности HP доступны на устройствах HPEnterprise и HPManaged с установленной прошивкой HP FutureSmart 4.5 или более поздней версии. Заявление основано на обзоре HP опубликованных в 2021 году характеристик аналогичных принтеров этого класса. Только HP предлагает комбинацию функций безопасности для автоматического обнаружения, остановки работы и восстановления после атак с поддержкой перезагрузки с возможностью самовосстановления в соответствии с рекомендациями NISTSP 800-193 в отношении киберустойчивости устройств. Список совместимых продуктов можно найти на сайте hp.com/go/PrintersThatProtect. Для получения дополнительной информации посетите hp.com/go/ PrinterSecurityClaims . (6) HP Security теперь носитназваниеHPWolfSecurity. Функции безопасности зависят от платформы. Более подробную информацию см. в спецификациях соответствующих продуктов. |
|