Если нашумевшие атаки шифровальщика WannaCry и научили чему-то пользователей, так это тому, что нужно своевременно устанавливать патчи и поддерживать ПО в актуальном состоянии.
Напомню, что для распространения своей малвари авторы WannaCry воспользовались готовыми инструментами из арсенала АНБ, эксплоитами ETERNALBLUE и DOUBLEPULSAR. Хакерский арсенал был похищен у спецслужб еще в 2016 году. Группа хакеров, называющих себя The Shadow Brokers, долгое время тщетно пыталась продать попавшее в их руки «кибероружие», но им не удалось ни провести аукцион, ни найти прямого покупателя, после чего, в апреле 2017 года, группировка опубликовала украденные данные совершенно бесплатно, в открытом доступе.
При этом патч, закрывающий уязвимости, которые ранее эксплуатировало АНБ, был выпущен еще в марте 2017 года (MS17-010). Кроме того, в мае, когда при помощи эксплоитов спецслужб начал распространяться WannaCry, компания Microsoft также представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.
Однако специалисты компании enSilo предупреждают, что расслабляться еще рано. Дело в том, что не все уязвимости были благополучно исправлены. Так, без патчей остались проблемы, которые эксплуатируют инструменты ESTEEMAUDIT, ENGLISHMANSDENTIST и EXPLODINGCAN.
Эксперты объясняют, что эксплоит ESTEEMAUDIT атакует 0-day уязвимость в протоколе RDP, фактически предоставляя злоумышленникам удаленный доступ к целевой машине. К сожалению, исправления для этой бреши Microsoft не выпускала, так как ESTEEMAUDIT может быть использован только против систем Windows XP и Windows 2003, чья поддержка была прекращена несколько лет назад. Также эксплоит не был задействован ни во время атак WannaCry, ни другими хакерскими группами, поэтому о нем и сопряженной с ним уязвимости «забыли».
Аналитики enSilo пишут, что множество устройств по всему миру до сих пор работают под управлением Windows XP и Windows Server 2003. Так Windows XP принадлежит более 7% рынка операционных систем, а Windows Server 2003 занимает примерно 18%. При этом хакеры уже использовали протокол RDP для распространения шифровальщиков (например, CrySiS, Dharma и SamSam), а эксплоит ESTEEMAUDIT позволит сделать данную технику еще более эффективной, поставив атаки на поток. Теоретически использование ESTEEMAUDIT может спровоцировать вторую волну хаоса, подобную WannaCry.
Разработчики enSilo решили не дожидаться, когда очередная хакерская группировка возьмет ESTEEMAUDIT на вооружение, начнется новая эпидемия (так как эксплоит имеет потенциал червя), и разработчики Microsoft, возможно, отреагируют на происходящее. Специалисты сами написали патч для Windows XP SP3 x86, Windows XP SP3 x64, и Windows Server 2003 R2. Загрузить обновление можно здесь.
Всем, кто по какой-то причине не может установить патч, настоятельно рекомендуется отключить RDP.
