Эксперты описали атаку на Windows 10 со всеми установленными обновлениями

174fba459e4b4c9f7d83fd747c3e1d80

Специалисты из Google Project Zero обнаружили 7 уязвимостей в JScript.dll.  

Исследователи из Google Project Zero описали локальную PoC-атаку на компьютер под управлением Windows 10 со всеми установленными обновлениями, позволяющую выполнить недоверенный JavaScript-код за пределами песочницы.

Представленная исследователями атака является разновидностью атаки на WPAD/PAC и предполагает совокупную эксплуатацию сразу нескольких уязвимостей, затрагивающих PAC и Microsoft JScript.dll.

«Мы обнаружили 7 уязвимостей (JScript.dll) и продемонстрировали успешное выполнение кода из локальной сети (и за ее пределами) на полностью обновленной (на момент написания) 64-разрядной системе Windows 10 Fall Creators Update», — сообщили исследователи в своем блоге.

Атаки на протокол Web Proxy AutoDiscovery (WPAD) основываются на том, как браузеры используют PAC (Proxy Auto-Configuration) для направления HTTP- и HTTPS-запросов. Файлы PAC содержат JavaScript-код, указывающий, какой прокси должен использовать браузер, чтобы попасть на определенный URL.Злоумышленник может использовать вредоносный PAC и осуществлять мониторинг каждого запрашиваемого браузером URL-адреса.

Исследователи из Google Project Zero обнаружили новый вектор атаки. Экспертам удалось выявить 7 уязвимостей в движке Windows JScript для интерпретации файлов JavaScript PAC (CVE-2017-11810, CVE-2017-11903, CVE-2017-11793, CVE-2017-11890, CVE-2017-11907, CVE-2017-11855 и CVE-2017-11906). Эксперты связали две из них (приводящие к утечке информации и переполнению буфера) и, использовав несколько техник (в том числе возвратно-ориентированное программирование), обошли механизмы безопасности Windows. Затем они применили технику повышения привилегий и перешли из учетной записи Local Service, где сервис WPAD работает, но с минимальными привилегиями, в SYSTEM.

В настоящее время вышеупомянутые уязвимости уже исправлены. Тем не менее, это вовсе не значит, что исправлены все проблемы с безопасностью. «На обнаружение уязвимостей в JScript.dll у нас ушло много времени, усилий и вычислительной мощности, но мы не беремся утверждать, что нашли все. По факту, оказалось 7 уязвимостей, но их также может быть и 8», — отметили исследователи.

Возвратно-ориентированное программирование – метод эксплуатации уязвимостей в программном обеспечении, используя который атакующий может выполнить необходимый ему код при наличии в системе защитных технологий, например, технологии, запрещающей исполнение кода с определенных страниц памяти.

08:52 / 20 Декабря, 2017

Подробнее: https://www.securitylab.ru/news/490446.php

Windows cannot access the file gpt.ini

ABHIJIT'S BLOG

This error usually indicates that the user or computer does not have the appropriate permissions to access the GPO or or GPO has been corrupted/deleted.

Default permissions:
Authenticate Users — Read & Apply Group Policy
Creator Owner — Special permission
Domain Admins — Full Control & Special permission
Enterprise Admins — Full Control & Special permission
Enterprise Domain Controllers — Special permission
System — Full Control except Apply Group Policy

Troubleshooting steps:
1. First of all check the SYSVOL and NETLOGON shares are available and on server, problematic GPO is present.
2. Run Group Policy Best Practice Analyzer to check errors.
3. Right click on the problematic gpt.ini file and click Permissions.
4. Switch to Security tab and click Edit.
5. Highlight Authenticated Users, remove all the boxes under Deny and check the following items under Allow.
  Read & execute
  Read
6. Click OK twice to test the issue.

View original post ещё 75 слов

Вирусы пишут талантливые люди

Я всегда интуитивно склонялся к тому, что вирусы пишут не только глубоко обиженные на судьбу люди, но и талантливые, амбициозные, профессиональные и действительно увлеченные своей идеей люди.

С возрастом я все больше в этом убеждаюсь. Эпидемия вируса Petya.A этому лишний раз подтверждение.

уважуха

В голове невольно складываются кубики — что сделали правильно или неправильно, как только узнали об атаке?

Как выразился Игорь Шаститко — «что действительно должны были сделать»?Какие сервисы защиты уже были на всех уровнях ИТ-инфраструктуры?

Рекомендации от Игоря Шаститко кратки и просты (для специалистов):

Уровень

Технологии

Данных ACL / шифрование
Приложений антивирус (который поддерживается на Windows +Linux), Applocker / Device Guard
Хостов Последняя версия ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS),  Device Guard
LAN Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр FW, контроль доступа, App FW, NAP
Физическая безопасность Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры Документирование, тренинги, предупреждения и уведомления, наказания…

Если углубиться, то этот посыл может выглядеть так:

Необходимые технологии для закрытия от вирусных атак типа #Petya #nonPetya

Уровень Технологии
Данных ·         ACL

·         Шифрование

·         Классификация данных с RMS

·         ACL есть?

·         Шифрование есть?

·         RMS нет?

Active Directory («Активный каталог», AD) — служба каталогов корпорации Microsoft ·         Актуальная база Users, Comps, Servers, Groups в AD: OU для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         OU для Users&Admins по структуре и местоположению

·         Microsoft PAM

·         разделяемый доступ администраторов к OU

·         Обычно что-то есть в AD, но не задокументировано.

·         Microsoft PAM,

·         LAPS — нет:  уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

·         Жесткая идентификация пользователя и на каком компьютере произведен вход в полях AD:

1.       Расширить схему AD и добавить поле для MAC-адреса компьютера;

2.       Внести в тестовый логон-script, чтобы для каждого пользователя, кто входит в сеть, напротив имени учетной записи в поле description вписывалось FDQN компьютера, с которого произведен вход;

3.       В том же скрипте вписывать в поле description в имени компьютера имя учетной записи пользователя, который вошел на этот компьютер и в новое поле по п.1 вписывать MAC-адреса компьютера

Приложений ·         антивирусы (обновление сигнатур),

·         «бронирование» приложений и сервисов с помощью механизмов обнаружения вторжения

·         подписка на Defender ATP или

·         Microsoft ATA

·         Applocker

·         Device Guard

Хостов ·         ОС (политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или

·         отключить SMB v1 как класс и прочие ненужные устаревшие сервисы

·         через AD GPO запретить User открывать разделяемые ресурсы),

·         аутентификация,

·         управление обновлениями,

·         FW,

·         защита от вторжения (IDS — подписка на Defender Advanced Thread Protection),

·         VBS,

·         Device Guard

·         VBS и Device Guard для защиты от кражи идентити.

1.       Но – VBS есть только в Windows 10 не во всех редакциях и

2.       есть рекомендации по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7,

3.       использование рекомендованных шаблонов безопасности (для Windows 10 без VBS/DG) — отключение кеширования идентити при входе.

·         Уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

LAN ·         Сегментирование и изоляция (VLAN)

·         шифрование (IPSec)

·         защита от вторжения (NIDS)

·         сегментирование и изоляция (VLAN)

·         заменить все Cisco по проекту = заменить сетевые устройства, которые не поддерживают 802.1x во всей сети

·         Создать сегменты для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         RADIUS

·         Включить 802.1x на сетевом уровне

Периметр ·         FW,

·         контроль доступа,

·         App FW,

·         NAP

·         сервис фильтрации почтовых сообщений (в Microsoft Exchange) – удаление всех файлов, кроме разрешенных типов,

·         антивирусная система для электронной почты.

 

 

 

 

 

·         аренда аналогичных облачных сервисов Exchange Online Protection, «знания» которого не зависят от «расторопности» администраторов (время внедрения – 30 мин + обновление доменного имени)

Физическая безопасность ·         Охрана,

·         ограничение доступа,

·         аппаратный контроль и аудит доступа,

·         отслеживание устройств,

·         камеры наблюдения

соответствие инвентарному кол-ву компьютеров
Люди, политики, процедуры ·         Документирование,

·         тренинги (обучение не открывать файлы),

·         предупреждения и уведомления (о возможных атаках),

·         наказания:

1.       вплоть до увольнения и судебных исков против запустивших вирус

2.       персональная ответственность админов и сетевиков за каждый следующий поломанный по сети компьютер из-за того, что его учетная запись «гуляет» по всей сети

Предупреждали пользователей, пугали наказанием — сработало.

Админы могут проигнорировать смену паролей — нужно проверить даже, если доверяешь

Что было сделано правильно в первые часы атаки:

Первичный сценарий заражения

Предпринятые меры

Сценарий – проникновение через почтовые сообщения в виде вложения к письму заблокировали почтовые вложения

+ неоднократные рассылки с категорическим запретом открытия подозрительных вложений

Сценарий –  через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО погасили сервера M.E.Doc до выяснения

Вторичный сценарий заражения

Предпринятые меры

Активация. Сценарий –  команда через Интернет зараженным ПК закрыли доступ всех пользователей в сеть Интернет
Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах исторически созданное сегментирование сети

+ всех заставили выключить ПК и распустили домой

Механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей/администраторов локальных и доменных всех заставили выключить ПК и распустили домой

Ссылки:

Securing Privileged Access — http://aka.ms/privsec

Defense-in-Depth https://msdn.microsoft.com/ru-ru/library/cc767969.aspx

Рекомендованные шаблоны безопасности (и для Windows без VBS/DG) – http://aka.ms/pth

Local Administrator Password Solution (LAPS) — http://aka.ms/laps

Учетные записи, не обладающие полнотой прав на уровне всей сети — https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Практическое видео от Игоря Шаститко с примером реальной лабораторной по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.C) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое.

Ну, вот где-тот так.

Первая запись в блоге

Это ваша самая первая запись. Выберите элемент «Изменить», чтобы отредактировать или удалить её, или создайте новую запись. В этой записи можно рассказать читателям, почему вы завели блог и что планируете в нём публиковать.