• +7 (495) 980-23-45
  • Сервис IZ:SOC
  • Сервисный центр
  • Контакты
Информзащита - системный интегратор
  • О компании
    • История компании
    • Руководство компании
    • Лицензии и сертификаты
    • Партнеры
    • Группа компаний
    • Контакты
  • В фокусе
    • 187 ФЗ
    • ГосСОПКА
    • GDPR
    • Антифрод
    • Киберучения
  • Услуги
    • Защита инфраструктуры
    • Проектирование и внедрение
    • Аудит ИБ и безопасность бизнес-процессов
    • Управление безопасностью
    • Защита информации
    • Анализ защищенности
    • Соответствие требованиям
    • Промышленная безопасность
    • Защита от мошенничества
    • Сопровождение и поддержка решений по ИБ
  • Проекты
  • Аналитика
  • Пресс-центр
    • Новости
    • Публикации в СМИ
    • Медиа-архив
    • Мероприятия
    • Медиа-кит
  • Карьера
    • Вакансии
    • Наши интересы
  • Меню
  1. Главная
  2. Пресс-центр
  3. Новости
  4. Рекомендации по нейтрализации угроз, связанных с уязвимостью СVE-2017-8759

Рекомендации по нейтрализации угроз, связанных с уязвимостью СVE-2017-8759

19 Сентября 2017

Компания «Информзащита» рекомендует всем организациям принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности.

Общее описание угрозы

12 сентября 2017 г. была опубликована информация об уязвимости CVE-2017-8759, которая связана с удаленным выполнением кода с использованием документов Microsoft Office.  

Уязвимость была обнаружена компанией FireEye вследствие фиксации ряда атак с использованием ранее неизвестного эксплойта.

Уязвимости CVE-2017-8759 подвержены операционные системы семейства Microsoft Windows. Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft .NET Framework – SOAP WSDL Parser, позволяет получить пользовательские права на уязвимой системе.

Данная уязвимость имеет высокую степень критичности по ряду причин:

  1. эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;
  2. для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;
  3. код эксполойта для данной уязвимости опубликован в открытом доступе в сети Интернет, это означает, что данной уязвимостью может воспользоваться любой пользователь сети.

Наименование угрозы: CVE-2017-8759 «.NET Framework Remote Code Execution Vulnerability».

Возможные векторы атаки: рассылка целевого фишинга с вложением документа Microsoft Office (doc, rtf и др.).

Уязвимые системы: операционные системы семейства Microsoft Windows от Windows 7 до последних версий, компонент Microsoft .NET Framework от версии 2.0 до 4.72. Полный перечень уязвимых ОС и компонентов представлен по ссылке

Масштаб распространения угрозы: на данный момент зафиксирована одна фишинговая кампания, использующая эксплойт для уязвимости CVE-2017-8759 для установки троянской программы FINSPY (FinFisher).

1  Превентивные меры

Для снижения рисков, связанных с уязвимостью CVE-2017-8759 рекомендуется:

  1.  установить обновление безопасности, соответствующее версии операционной системы и версии Microsoft .NET Framework. Полный перечень уязвимых ОС и компонентов представлен по ссылке;
  2. обновить базы сигнатур установленного антивирусного ПО;
  3. обновить базы сигнатуры IPS, защищенных почтовых и веб-шлюзов (ESG, WSG) и других сигнатурных СЗИ.

Примечание: по ссылке представлены идентификаторы полных обновлений, в то время как для систем до Windows 8.1 и Windows Server 2012 R2 существует возможность установить только обновления безопасности - столбец Security Only Release в оригинальной таблице Microsoft.

Также необходимо обновить базы сигнатур установленного антивирусного ПО в целях предотвращения заражения FINSPY. 

2. Описание уязвимости

Уязвимость удаленного выполнения кода, зарегистрированная с идентификатором CVE-2017-8759, обнаружена экспертами компании FireEye в модуле WSDL Parser (Web Services Description Language) в Microsoft .NET Framework. Метод модуля IsValidUrl не осуществляет корректную проверку переданных значений на предмет наличия в них последовательности CRLF (перенос строки и каретки). Таким образом атакующий, используя данную последовательность имеет возможность внедрить вредоносный код в процесс выполнения модуля (Рисунок 1).

3. Индикаторы компрометации

Известные на текущий момент хэш-суммы(MD5) вредоносных файлов:

  • Вредоносный файл «Проект.doc»: fe5c4d6bb78e170abf5cf3741868ea4c;
  • FINSPY: a7b990d5f57b244dd17e9a937a41e7f5.

Аналитика и рекомендации

26 Апреля 2018

Рынок ИБ по итогам 2017 года: оценка «Информзащиты»

24 Октября 2017

Рекомендации по нейтрализации угрозы BadRabbit

19 Сентября 2017

Рекомендации по нейтрализации угроз, связанных с уязвимостью СVE-2017-8759

В фокусе

  • 187 ФЗ
  • ГосСОПКА
  • GDPR
  • Антифрод
  • Киберучения

Оставайся на связи

О компании
  • История компании
  • Руководство компании
  • Лицензии и сертификаты
  • Партнеры
  • Группа компаний
  • Контакты
В фокусе
  • 187 ФЗ
  • ГосСОПКА
  • GDPR
  • Антифрод
  • Киберучения
Услуги
  • Защита инфраструктуры
  • Проектирование и внедрение
  • Аудит ИБ и безопасность бизнес-процессов
  • Управление безопасностью
  • Защита информации
  • Анализ защищенности
  • Соответствие требованиям
  • Промышленная безопасность
  • Защита от мошенничества
  • Сопровождение и поддержка решений по ИБ
Проекты
Аналитика
Пресс-центр
  • Новости
  • Публикации в СМИ
  • Медиа-архив
  • Мероприятия
  • Медиа-кит
Карьера
  • Вакансии
  • Наши интересы
  • Москва,
    Театральная аллея, д. 3, стр. 1
+7 (495) 980-23-45 (Круглосуточно)
  • Центр оперативного
    реагирования SOC
    8 (800) 100-23-55
Политика конфиденциальности
1995 - 2019, Компания «Информзащита»
О компании
  • История компании
  • Руководство компании
  • Лицензии и сертификаты
  • Партнеры
  • Группа компаний
  • Контакты
В фокусе
  • 187 ФЗ
  • ГосСОПКА
  • GDPR
  • Антифрод
  • Киберучения
Услуги
  • Защита инфраструктуры
  • Проектирование и внедрение
  • Аудит ИБ и безопасность бизнес-процессов
  • Управление безопасностью
  • Защита информации
  • Анализ защищенности
  • Соответствие требованиям
  • Промышленная безопасность
  • Защита от мошенничества
  • Сопровождение и поддержка решений по ИБ
Проекты
Аналитика
Пресс-центр
  • Новости
  • Публикации в СМИ
  • Медиа-архив
  • Мероприятия
  • Медиа-кит
Карьера
  • Вакансии
  • Наши интересы
  • Москва,
    Театральная аллея, д. 3, стр. 1
+7 (495) 980-23-45 (Круглосуточно)
  • Центр оперативного
    реагирования SOC
    8 (800) 100-23-55