Обнаружена криптомайнинговая кампания против Windows Server 2003

Обнаружена криптомайнинговая кампания против Windows Server 2003
 
Антивирусная лаборатория PandaLabs компании Panda Security по результатам анализа телеметрических данных выявила активную криптомайнинговую кампанию, направленную на Windows Server 2003, который имеет IIS 6.0 с включенным WebDAV.

В рамках данной кампании злоумышленники, используя незакрытую уязвимость CVE -2017-7269, на пораженных компьютерах запускают процессы для майнинга криптовалют. Более того, экспертами PandaLabs было установлено, что в некоторых случаях злоумышленники также выполняли метасплойт, который открывал на пораженных компьютерах «двери» для других угроз, например, извлечение паролей, получение обратной оболочки (reverse shell) и т.д.

Что такое WebDAV
WebDAV (Web-based Distributed Authoring and Versioning) представляет собой веб-средства для распределенной разработки и управления версиями. Это набор расширений и дополнений к протоколу HTTP, поддерживающих совместную работу пользователей над редактированием файлов и управление файлами на удаленных веб-серверах. В качестве миссии рабочей группы по созданию DAV было заявлено: "разработка дополнений к протоколу HTTP, обеспечивающих свободное взаимодействие инструментов распределенной разработки веб-страниц, в соответствии с потребностями работы пользователей".

Однако в процессе эксплуатации DAV нашёл себе ряд других применений, выходящих за первоначально принятые рамки коллективной работы над веб-документами.  Сегодня DAV применяется в качестве сетевой файловой системы, эффективной для работы в Интернете и способной обрабатывать файлы целиком, поддерживая хорошую производительность работы в условиях окружения с высокой временной задержкой передачи информации. Кроме того, DAV широко применяется в качестве протокола для доступа через Интернет и манипулирования содержимым систем документооборота (document management system). Ещё одной важной целью DAV является поддержка работы распределенных команд по разработке программного обеспечения. В качестве резюме задачу создания DAV можно указать так: на волне повсеместного использования HTTP в качестве стандартного уровня доступа к широкому кругу хранилищ информации расширить его возможности средствами записи информации (HTTP — доступ на чтение, DAV — доступ на запись).

Таким образом, DAV подходит для управления файлами на веб-серверах, иными словами, реализации облачных хранилищ информации, где и был применен. С его помощью можно выполнять основные операции над файлами, содержащимися на сервере, проводить расширенные операции, как то: блокировка, получение метаданных, контроль версий и другие. Этот протокол стал заменой для старого доброго FTP, чье время подошло к концу.
Подробнее о WebDAV: https://xakep.ru/2014/09/09/webdav/

Уязвимость CVE -2017-7269
По данным SecurityLab , исследователи Южно-китайского технологического университета обнаружили данную уязвимость в Windows Server 2003 и опубликовали PoC-код эксплоита на GitHub почти два года назад. Уязвимость эксплуатируется с середины 2016 года, однако о ней стало широко известно только весной 2017 года, когда все больше хакеров стали работать над своими эксплойтами.
Уязвимость присутствует в компоненте IIS WebDAV и может быть использована с помощью специально сконфигурированного запроса с использованием команды PROPFIND. С ее помощью злоумышленник может вызвать отказ в обслуживании или выполнить произвольный код.
Рекомендации
С момента появления данной уязвимости ей были подвержены сотни тысяч компьютеров по всему миру, на которых были установлены Windows Server 2003, Windows XP и ряд других версий операционной системы Windows. Изначально корпорация Microsoft не планировала выпускать патч для закрытия этой уязвимости, т.к. некоторые старые версии ее операционных систем уже не поддерживались.

Однако в июне 2017 года стал доступен патч Microsoft для закрытия уязвимости CVE -2017-7269 в операционных системах Windows XP и Windows Server 2003. Поэтому, мы настоятельно рекомендуем тем пользователям с Windows Server 2003, кому требуется использование WebDAV, применить патч для закрытия этой уязвимости:

В том же случае, если использование WebDAV не является критичным, мы рекомендуем отключить этот компонент.
И снова мы обращаем ваше внимание на то, что очень многие атаки становятся успешными в результате того, что пользователи не применяют своевременно требуемые обновления и патчи для устранения вновь обнаруженных уязвимостей и дыр безопасности в операционных системах и приложениях. Поэтому крайне важно регулярно и своевременно обновлять ваше программное обеспечение. В этом вам могут помочь автоматизированные средства для контроля обновлений и управления уязвимостями, такие как Panda Patch Management – специальный модуль, интегрированный в корпоративные решения Panda.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
криптомайнинг уязвимость
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.