Xakep #305. Многошаговые SQL-инъекции
12 января 2017 года хакерская группа The Shadow Brokers объявила о том, что уходит со сцены. Напомню, что ранее, в 2016 году, злоумышленники сумели похитить хакерские инструменты АНБ, часть из которых была опубликована в открытом доступе, а еще часть выставлена на продажу. Подлинность и работоспособность эксплоитов вскоре подтвердили ИБ-специалисты, а также компании Juniper, Cisco, Fortinet.
Однако организованный хакерами аукцион, равно как и попытки собрать 10 000 биткоинов с помощью краудфандинга, не увенчались успехом. Покупателей на столь специфический товар найти так и не удалось. В итоге группа опубликовала прощальное послание и приложила к нему еще один, совсем небольшой, дамп, состоящий из 61 файла в формате бинарников Windows, в том числе динамических библиотек, драйверов и исполняемых файлов.
Новый слив всерьез обеспокоил специалистов US-CERT, которые уже выпустили соответственное предупреждение. Дело в том, что среди хакерских инструментов, которые пыталась продать группировка, числился и RCE-эксплоит для 0-day уязвимости в протоколе SMB (Server Message Block), за который злоумышленники просили 250 биткоинов (порядка 250 000 долларов по текущему курсу).
Хотя наличие уязвимости нулевого дня пока никем не подтверждено, аналитики US-CERT рекомендуют принять превентивные меры предосторожности. «Данный сервис является общедоступным в системах Windows, и устаревшие версии SMB могут позволить удаленному атакующему извлечь конфиденциальные сведения из уязвимой системы», — пишут эксперты.
Специалисты советуют отключить SMB v1, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138. Хотя отключение SMB может создать администраторам немало проблем, в US-CERT убеждены, что плюсы в данном случае перевешивают минусы, так как потенциальная угроза для пользователей страшнее.