Эксперты по компьютерной безопасности компании Cylance обнаружили серьезную уязвимость в продуктах операционной системы Windows и программном обеспечении еще 31 компании. По их словам, под угрозой данные нескольких миллионов пользователей. Как выяснил Digital Report, в «Лаборатории Касперского» с этим согласны, а вот в ESET уверены, что СМИ сильно преувеличивают масштаб проблемы.

Брешь, выявленная в системе Windows, работает по принципу «человек посередине»: авторизационные данные (логин и пароль) похищаются на пути с легального веб-сервера и перенаправляются на вредоносный, где злоумышленники получают такую информацию, как имя пользователя, домен и хешированный пароль. Происходит это при помощи блока серверных сообщений SMB (сетевой протокол для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия – прим. ред.), поэтому брешь получила название Redirect to SMB. Помимо Windows, специалисты признали уязвимым программное обеспечение ещё 31 компании, включая Apple, Adobe и Oracle.

Для того, чтобы запустить механизм перехвата данных, хакерам нужно только убедить пользователя кликнуть на нежелательную ссылку, которую злоумышленники обычно размещают на сайтах или в электронных письмах.

В корпорации Microsoft официально заявили, что существующую проблему в Cylance преувеличивают. Еще в 2009 году в блоге корпорации «Исследование и поддержание кибербезопасности» была размещена инструкция, позволяющая предотвращать эту угрозу: защиту данных при подключении к сети усиливает такой инструмент Windows, как расширенная защита аутентификации.

Кроме компании Cylance, серьезность угрозы подтверждает отслеживающее вирусы подразделение CERT (Институт разработки ПО, университет Карнеги Меллон), представители которого также официально предупреждают пользователей о возможной угрозе. Похожая уязвимость была найдена в системе Windows еще в 1997 году: тогда злоумышленники могли автоматически подписывать пользователей на контролируемый ими браузер.

Digital Report проанализировал угрозу с антивирусным экспертом «Лаборатории Касперского» Денисом Макрушиным и ведущим вирусным аналитиком ESET Russia Артемом Барановым, мнения которых по данному вопросу несколько разошлись: специалист «Лаборатории Касперского» считает угрозу значительной, в то время как эксперт ESET Russia уверен, что она действительно преувеличена.

DR: Данная уязвимость действительно представляет настолько серьезную опасность?

Денис Макрушин: Да, уязвимость имеет высокую степень опасности, так как позволяет злоумышленнику украсть учетные данные пользователя и затрагивает огромное количество приложений, использующих специальные функции Windows API.

Артем Баранов: Опасна, но не настолько, как это представлено в некоторых СМИ. Дело в том, что для срабатывания уязвимости необходимо сочетание ряда специальных факторов. «Redirect to SMB» — скорее, не обычная уязвимость, а особенность, которая при соблюдении некоторых условий может использоваться злоумышленниками.

DR: Можно предупредить появление писем или веб-страниц с опасным линком?

Денис Макрушин: Во-первых, пользователям в принципе не следует открывать любые ссылки из вложений, которые они получают от лично не знакомых им лиц, а ссылки от знакомых стоит проверять. Во-вторых, ссылка, в результате которой эксплуатируется данная уязвимость, выглядит весьма специфично для пользователя, например, «file://1.1.1.1», а не как привычная нам ссылка на легитимные ресурсы, поэтому одним своим видом она должна вызывать подозрение. В-третьих, любое решение класса Internet Security имеет файервол (комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов – прим.ред.), который при правильной настройке заблокирует отправку запроса по стороннему протоколу.

Артем Баранов: Если пользователь посещает легитимные ресурсы, использует антивирусное ПО и своевременно устанавливает обновления Windows и других программных продуктов, у злоумышленников мало шансов на успех.

DR: Можно как-то экстренно «спасти» данные, если пользователь все-таки перешел по зловредной ссылке и процесс перехвата уже запущен?

Денис Макрушин: Учетные данные, которые получает злоумышленник, содержат имя пользователя и пароль в зашифрованном виде – это означает, что злодею потребуется расшифровать пароль. Тем не менее, пользователь, перешедший по ссылке, должен оперативно изменить пароль своей учетной записи. Регулярная смена паролей (например, раз в квартал) – хорошая практика для защиты своих учетных записей от злоумышленников. Для того, чтобы не придумывать раз в три месяца новые сложные пароли, мы рекомендуем использовать специальные сервисы, например, Менеджер паролей.

Артем Баранов: Злоумышленнику нужно авторизоваться на компьютере пользователя, а для этого к нему должен быть разрешен удаленный доступ. Таким образом, если пользователь применяет рекомендуемые настройки безопасности, злоумышленники не смогут перехватить его данные.

DR: Как часто изобретаются новые способы перехвата данных? Насколько сложно разработать систему защиты от такого нападения?

Денис Макрушин: Темпы роста технологий определяют темпы роста новых угроз. Так, «Лаборатория Касперского» только за один день находит 325 000 образцов нового вредоносного кода. Но в данном случае мы имеем дело с уязвимостью, которая при минимальных действиях со стороны киберпреступника позволяет украсть учетные данные пользователя. Уязвимости с подобной степенью критичности, к счастью, появляются не так часто, как новые технологии и программные продукты. Защита от такого типа угроз сейчас разрабатывается большинством производителей. Это достаточно сложный процесс, но крупные компании справляются с этой задачей.

Артем Баранов: Различные уязвимости в Windows и другом популярном программном обеспечении обнаруживаются постоянно. Важно, чтобы вендоры (производители – прим.ред.) оперативно закрывали эти уязвимости, а пользователи – своевременно скачивали соответствующие обновления и использовали рекомендуемые настройки безопасности.