Очередная дыра в Windows, будьте осторожны!

Внимание! Очередная дыра в Windows, будьте осторожны!

Появилась новая уязвимость в операционных системах Microsoft.
Риску подвержены системы Vista, Windows7, 2008, 2008R2 всех версий. Возможно, в зоне риска и другие операционные системы.

Суть уязвимости: злоумышленник получает возможность установки и запуска на удаленной машине произвольного программного кода. В том числе установки сервисов.
При этом наличие фаервола и сложные пароли никак не спасают.

Массовая проблема появилась 23 апреля. Многим клиентам был внедрен CPU Miner. Программа, использующая ресурсы процессора (на сервере жертвы) для заработка денег.
Проявление: сервер тормозит и имеет высокую нагрузку на процессор.
Как выснить есть ли у вас на машине CPU Miner?
1. У вас присутствует папка вида: C:\Windows\winsxslog (штатно этой папки не должно быть).
2. В сервисах присутствует сервис (служба) без описания с именем вида: DCFOWBCA (для каждого компьютера имя сервиса и имя исполняемого файла уникально и случайно)
3. При запуске диспетчера задач нагрузка на процессор падает, а CPU Miner прячется (выгружается из памяти).

Как остановить CPU Miner?
1. В службах у указанного сервиса изменить тип запуска с Автоматический на Отключено.
2. Остановить службу не получится.
3. Запустить диспетчер задач (тем самым остановив Miner)
4. У папки C:\Windows\winsxslog задать права NTFS, запрещающие кому либо доступ в нее.
5. Перезагрузить сервер.

Как обезопасить сервер на будущее?
— установить все обновления на операционную систему.

Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Мы закрыли 445 порт и рекомендуем ставить MS 17-010 нашим клиентам.

2 комментария

xakep
Неплохо было бы оставить ссылку на источник
SRVGAME
Это наверное единственная полезная информация из источника.
Серч убог.

Оставить комментарий