Microsoft исправила уязвимости нулевого дня в своем ПО задолго до их раскрытия группой Shadow Brokers

Microsoft исправила уязвимости нулевого дня в своем ПО задолго до их раскрытия группой Shadow Brokers - 1

Кибершпионским организациям США и простым киберпреступникам сейчас приходится несладко. О многих уязвимостях программного обеспечения различных производителей стало известно благодаря работе хакерской группировки Shadow Brokers, WikiLeaks и другим организациям, включая Symantec. В результате ИТ-компании правят и исправляют свое ПО, что делает невозможным эксплуатацию большого количества «дыр» в программном обеспечении кем бы то ни было.

Корпорация Microsoft, как выяснилось недавно, еще в марте исправила все уязвимости нулевого дня ^[1], о которых рассказала группа Shadow Brokers. В августе 2016 года она выложила первую порцию экслоитов. Сами они не создавали ничего из того, о чем сообщили, это ПО принадлежит другой хакерской группировке Equiation Group, о которой известно ^[2], что она связана с АНБ.

Shadow Brokers решили выложить набор эксплоитов, выражая таким образом протест против политики Дональда Трампа, за которого представители этой группы голосовали.

В оперативном режиме изучив содержимое архива эксплоитов, сотрудники корпорации Microsoft начали исправлять представленные уязвимости. На днях корпорация объявила о том, что все уязвимости, упомянутые хакерами, ликвидированы ^[3]. Это было сделано при помощи обновлений, которые Microsoft классифицирует, как MS17-010 ^[4], CVE-2017-0146 ^[5], и CVE-2017 ^[6]. В своем обращении корпорация упоминает о том, что с АНБ никто не контактировал, о проблемах в ПО сотрудники этой организации ничего не сообщали Microsoft.

Кодовое название	Решение
“EternalBlue”	Addressed by MS17-010 ^[4]
“EmeraldThread”	Addressed by MS10-061 ^[7]
“EternalChampion”	Addressed by CVE-2017-0146 ^[5] & CVE-2017-0147 ^[6]
“ErraticGopher”	Addressed prior to the release of Windows Vista
“EsikmoRoll”	Addressed by MS14-068 ^[8]
“EternalRomance”	Addressed by MS17-010 ^[4]
“EducatedScholar”	Addressed by MS09-050 ^[9]
“EternalSynergy”	Addressed by MS17-010 ^[4]
“EclipsedWing”	Addressed by MS08-067 ^[10]

Microsoft исправила уязвимости нулевого дня в своем ПО задолго до их раскрытия группой Shadow Brokers - 2

О том, что ни одна из уязвимостей, раскрытых Shadow Brokers, не работает, стало известно за сутки до публикации Microsoft. Это может означать то, что пользователи ОС Windows в относительной безопасности, во всяком случае те, кто регулярно обновляет свою ОС. В крупных организациях, где обновления устанавливаются централизованно, все эти уязвимости могут быть еще актуальны. Во всяком случае, речь идет об EternalBlue, EternalChampion, EternalSynergy и EternalRomance.

Но интересно даже не это, а то, каким образом в Microsoft смогли узнать о скорой публикации информации об эксплоитах за месяц до анонса от Shadow Brokers. Возможно, сама группа контактировала с Microsoft, поскольку, как говорилось выше, корпорация отрицает контакты с АНБ.

Если это предположение верное, то Microsoft, вероятно, заплатила ^[11] Shadow Brokers за эту информацию, не афишируя свои действия.

Microsoft исправила уязвимости нулевого дня в своем ПО задолго до их раскрытия группой Shadow Brokers - 3

И еще одно предположение — это то, что Microsoft самостоятельно обнаружила проблемные места в своем ПО, без помощи АНБ или хакерской группировки. Это вполне возможно, поскольку другие уязвимости, анонсированные группировкой и имеющие отношение к Windows XP, Windows Server 2003, Exchange 2007, и IIS 6.0 остались неисправленными.

RETRACTION: This was based on best information at the time and early testing, which turned out to be incorrect. Following will be analysis. pic.twitter.com/69Pfp1NnHV ^[12]

— SwiftOnSecurity (@SwiftOnSecurity) April 15, 2017 ^[13]

Интересно, что после релиза эксплоитов большинство экспертов по сетевой безопасности объявили, что эти программные инструменты вполне рабочие по отношению к продуктам Microsoft. Чуть позже специалисты по кибербезопасности признали ошибку, но то, что многие из них ранее заявили о рабочих уязвимостях говорит о том, что они просто не проверяли, так ли оно в действительности, сверившись с журналом обновлений Windows и не увидев никакого упоминания о патче уязвимостей нулевого дня.

Автор: marks

Источник ^[14]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/windows/252862

Ссылки в тексте:

[1] уязвимости нулевого дня: https://ru.wikipedia.org/wiki/%D0%A3%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C_%D0%BD%D1%83%D0%BB%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE_%D0%B4%D0%BD%D1%8F

[2] известно: https://geektimes.ru/post/279550/

[3] ликвидированы: https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

[4] MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[5] CVE-2017-0146: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0146

[6] CVE-2017: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0147

[7] MS10-061: https://technet.microsoft.com/en-us/library/security/ms10-061.aspx

[8] MS14-068: https://technet.microsoft.com/en-us/library/security/ms14-068.aspx

[9] MS09-050: https://technet.microsoft.com/en-us/library/security/ms09-050.aspx

[10] MS08-067: https://technet.microsoft.com/en-us/library/security/ms08-067.aspx

[11] заплатила: https://twitter.com/DonAndrewBailey/status/853290445857861632

[12] pic.twitter.com/69Pfp1NnHV: https://t.co/69Pfp1NnHV

[13] April 15, 2017: https://twitter.com/SwiftOnSecurity/status/853238027564535808

[14] Источник: https://geektimes.ru/post/288148/

Нажмите здесь для печати.