Nowy exploit na systemy Windows – przypomnienie o aktualizacjach

W zeszłym roku poważne zagrożenie stworzył ransomware WannaCry. Jest to złośliwe oprogramowanie atakujące systemy Windows, na których nie zainstalowano aktualnych poprawek. Efektem infekcji było zaszyfrowanie dokumentów w systemie i próba wymuszenia okupu od użytkowników w zamian za odwrócenie tego procesu. W przypadku niezapłacenia pliki tracone były bezpowrotnie. Twórcy WannaCry prawdopodobnie korzystali z exploitów opracowanych na potrzeby NSA – Amerykańskiej Agencji Bezpieczeństwa Narodowego. Efektem tego było ponad 200 tysięcy komputerów zainfekowanych w 150 krajach.

W tym roku, na początku lutego na GitHubie pojawiała się ulepszona wersja słynnych exploitów NSA do ataków na komputery w sieciach Windows (wykorzystująca podatności CVE-2017-0143 i CVE-2017-0146). Exploit zamiast od razu wykonywać shellcode, nadpisuje strukturę sesji połączeń SMB, aby uzyskać sesję Admin/SYSTEM. Sam moduł został odchudzony, sprawdza dostępność mechanizmu named pipes, a tam gdzie możliwe stosuje dodatkową losowość i oferuje wygodny dostęp do interfejsu Windows Service Control Managera.

Zespół CERT zaleca w związku z tym sprawdzenie czy wszystkie aktualizacje od Microsoftu są zainstalowane.
Aktualizacja i biuletyn są dostępne na stronach Microsoft.