06.12.2017
Центр защиты информации

ОБНОВЛЕНИЕ СИГНАТУР СОВ DALLAS LOCK

При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock специалисты ООО «Конфидент» уделили особое внимание уязвимости с удаленно выполняемым кодом для Microsoft Windows — CVE-2017-8682 в части компонента графической подсистемы.

Проявление уязвимости происходит при некорректной обработке встроенных шрифтов Windows. После ее реализации нарушитель может произвольно устанавливать программы. Он также получает доступ к данным, в том числе для их просмотра, удаления, изменения. Уязвимость позволяет управлять учетными записями и создавать новые с максимальными правами пользователя.

Способы реализации уязвимости CVE-2017-8682:

1.  Стандартный сценарий атаки через Интернет. При помощи социальной инженерии злоумышленник может убедить пользователя перейти по отправленной им ссылке, в том числе из электронной почты.

2. Альтернативный сценарий атаки. Злоумышленник предоставляет специально созданный файл документа, сформированный особым образом для реализации данной уязвимости. Затем, пользуясь приемами социальной инженерии, он убеждает пользователя открыть файл документа.

Что нужно сделать в первую очередь для устранения уязвимости?

1. Если у вас не включено автоматическое обновление Microsoft Windows, включите его.

2. Если у вас не включено автоматическое обновление СОВ Dallas lock, установите новые базы сигнатур:

СОВ ⇒ Параметры СОВ  Глобальные параметры  Запустить процесс обновления

Обновление сигнатур.PNG

3. Включите автоматическое обновление сигнатур СОВ Dallas Lock.

Дополнительные рекомендации:

1.  Запускайте все программное обеспечение как непривилегированный пользователь с минимально необходимыми правами доступа.

По возможности всегда запускайте любое программное обеспечение как непривилегированный пользователь (например, через механизм «Запуск от имени»). Используя СЗИ Dallas Lock 8.0, можно даже ограничить вызов приложениями различных функций через механизм контроля приложений.

2.  Не принимайте и не выполняйте файлы из ненадежных или неизвестных источников.

Не обрабатывайте и не открывайте файлы из недостоверных источников. При необходимости работы с такими файлами – проверяйте их надежными антивирусами с актуальными базами вирусов и/или через такие сайты как https://www.virustotal.com/ (проверяя неподдельность SSL сертификата).

3.  Не переходите по неизвестным ссылкам, не доверяйте ссылкам в непроверенных источниках.

Никогда не посещайте сайты сомнительной целостности и особенно ссылки, предоставленные незнакомыми или ненадежными источниками.

4.  Своевременно обновляйте сигнатуры средств безопасности.

В СОВ Dallas Lock добавлена соответствующая защитная сигнатура.

В последнем обновлении СОВ также добавлены сигнатуры, защищающие, в том числе от следующих новых уязвимостей (подробнее о каждой из уязвимостей можно прочесть на сайте https://cve.mitre.org/):

•   CVE-2017-0288

•   CVE-2017-8708

•   CVE-2017-8683

•   CVE-2017-8734

Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур системы обнаружения и предотвращения вторжений Dallas Lock.

Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:

СОВ  Сигнатуры  Сигнатуры трафика  Информация об уязвимости

Информация о уязвимостях.PNG