MS06-014: три машины клиента подхватили трояна просто открыв новостной сайт
Критическая уязвимость MDAC в Internet Explorer активно эксплуатируется drive-by атаками. Экстренно раскатываем патч через GPO и фиксируем процедуру.
Microsoft выпускает бюллетень MS06-014 с критическим патчем для Internet Explorer - уязвимость в MDAC активно эксплуатируется drive-by атаками на легитимных сайтах
В прошлый вторник нам позвонил клиент - небольшая торговая компания, около тридцати машин, все под Windows XP SP2. Сисадмин на месте сообщил, что три рабочих станции ведут себя странно: антивирус начал ругаться на что-то в temp-директориях, в автозагрузке появились незнакомые записи, одна машина периодически флудит наружу по нестандартным портам. Никто ничего не запускал, никаких писем с вложениями не открывал. Просто сидели и читали новости.
Это оказался MS06-014.
Что за дыра
Бюллетень Microsoft выпустил 11 апреля - часть апрельского patch Tuesday. Уязвимость в MDAC - Microsoft Data Access Components, библиотеки, которая сидит в системе и используется Internet Explorer для работы с ActiveX. Конкретно - компонент RDS.Dataspace позволяет через специально сформированную веб-страницу выполнить произвольный код в контексте пользователя IE.
Эксплойт для этой уязвимости гуляет по сети с февраля - ещё до выхода патча. Схема атаки простая: злоумышленники взламывают легитимный сайт (или покупают рекламное место с вредоносным iframe) и встраивают туда невидимый скрипт. Пользователь заходит на сайт новостей, страница грузится, IE отрабатывает ActiveX - всё, машина заражена. Ни одного клика, ни одного предупреждения, ничего.
У нашего клиента именно это и случилось: новостной сайт, который сотрудники читали каждое утро, оказался скомпрометирован. Три человека зашли в промежуток между появлением эксплойта на сайте и нашим приездом.
Что нашли на машинах
На трёх заражённых станциях картина была похожей. В Temp и Application Data - несколько исполняемых файлов с нечитаемыми именами. В реестре в ключах автозагрузки HKCU - записи на них же. На одной машине antivir поймал то, что выглядело как даунлоадер - небольшая программа, которая скачивает и запускает следующую стадию с удалённого сервера. На момент нашего приезда C&C уже не отвечал - либо уронили, либо сменили адрес.
Сетевой трафик с одной из машин шёл на адреса, которые на тот момент числились в нескольких списках известных малварных серверов. Что именно утекло - сказать сложно; машина была включена около суток с момента заражения.
Хорошая новость одна: на этих трёх машинах не было ничего особо чувствительного - рядовые рабочие места без доступа к бухгалтерии и без прав на сетевые папки с критичными данными. Если бы попали на машину финансового директора или на сервер - разговор был бы другим.
Экстренная раскатка патча
Патч от Microsoft вышел 11-го, мы приехали 12-го. Задача - закрыть уязвимость на всех тридцати машинах как можно скорее, не рассчитывая на ручную установку.
У клиента Active Directory есть, GPO мы уже настраивали для других задач. Схема:
- Создаём software installation политику в GPO на уровне домена для установки патча KB911562 - это и есть MS06-014. Патч скачан с Microsoft, выложен на сетевую шару с нужными разрешениями.
- Принудительное применение GPO через
gpupdate /forceна каждой машине - не ждём следующего логина. На большинстве машин это сделал сам сисадмин обходом по RDP, на части - через psexec. - Перезагрузка там, где патч этого требует.
Параллельно - три заражённые машины уходят на переустановку. Пытаться вычистить трояна руками на живой системе - плохая идея: непонятно, что именно было скачано даунлоадером до того, как C&C пропал. Проще накатить образ заново.
К обеду следующего дня все тридцать машин имели патч, три - переустановленную систему.
Что зафиксировали в процедуру
После инцидента у клиента не было ничего похожего на процедуру экстренного patching - патчи накатывались когда придётся, иногда с опозданием в несколько недель. Мы записали минимум, который должен работать:
- Мониторинг бюллетеней Microsoft - critical и important выходят по вторникам каждый второй вторник месяца. Подписка на Security Bulletin Summary через RSS или email занимает пять минут.
- Классификация патчей при получении - critical с активной эксплуатацией в дикой природе закрываем экстренно, остальное через плановый цикл. MS06-014 попадал под экстренную категорию однозначно.
- Готовый механизм раскатки через GPO - не строить его в момент инцидента, а иметь заранее. Это означает рабочую шару для дистрибутивов, опробованный процесс создания software installation политики, список machine OU для таргетирования.
- Образы машин - у клиента они были, хоть и несвежие. Переустановка трёх машин заняла меньше часа именно потому, что образ существовал. Без него - день на каждую.
Для тех, кого мы ведём в рамках аудита безопасности, такой чеклист теперь идёт в базовые требования к инфраструктуре наряду с антивирусом на шлюзе.
Неудобный вопрос
Drive-by через IE - атака, в которой пользователь не сделал ничего неправильного. Он не открывал подозрительные письма, не качал варез, не кликал на баннеры. Зашёл на нормальный сайт, который читал месяцами.
Защититься полностью сложно: патч к тому моменту был четыре дня как вышел, а эксплойт работал с февраля. Но окно между выходом патча и его установкой у клиента составляло больше суток - и именно в это окно попали три машины. Был бы механизм экстренной раскатки - закрыли бы в тот же вечер 11-го.
Это не вопрос пользователей. Это вопрос процесса.
- Nyxem/MyWife: как червь 3 февраля уничтожил файлы у нескольких наших клиентов · 14 февраля 2006
- Сегментация сети для PCI DSS: три VLAN на одном Cisco-стеке · 29 марта 2006