На хакерской конференции Black Hat в Абу-Даби (6 декабря) компания SecureState представила Proof-of-concept эксплойт для Microsoft Dynamics Great Plains (GP) и исследование, посвящённое методам атаки и уязвимостям в популярных системах учёта, таких как Microsoft Dynamics ERP.
Программный пакет Microsoft Dynamics ERP обычно включает в себя пять программ:
- Microsoft Dynamics AX
- Microsoft Dynamics GP
- Microsoft Dynamics NAV
- Microsoft Dynamics SL
- Microsoft Dynamics C5
Microsoft Dynamics ERP используется компаниями среднего размера или филиалами крупных корпораций для планирования ресурсов. ERP-система обеспечивает общую модель данных и процессов всех сфер деятельности компании, для организационной стратегии интеграции производства и операций, управления трудовыми ресурсами, финансового менеджмента и управления активами.
Исследование “Cash Is King: Who’s Wearing Your Crown? Accounting Systems Fraud in the Digital Age” (pdf) описывает несколько тем:
- Поиск и препарирование бухгалтерских систем через интернет
- Типичные примеры бухгалтерского мошенничества
- Всесторонний обзор Microsoft Dynamics Great Plains (GP)
- Уязвимости и векторы атаки Microsoft Dynamics GP
- Атака БД и юзера
- Конструирование «идеального» мошенничества с помощью самодельного зловреда
- Методы защиты от подобных атак
Proof-of-concept эксплойт Project Mayhem: project_mayhem_v1.0.zip для заражения фронтенда Microsoft Dynamics GP включает в себя инсталлятор (Python), DLL и сервер (Python). Инсталлятор и DLL нужно скопировать на хост жертвы и запустить инсталлятор, которые внедрит DLL в процессы Microsoft Dynamics и сгенерирует там все необходимые книги. После этого DLL периодически связывается с хостом, указанным в server_dll/mayhem.h, для получения дальнейших инструкций.
Авторы эксплойта выкладывают его в открытый доступ с надеждой, что разработчики ПО сделают работу над ошибками.
