Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Центр Кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает: компанией Microsoft устранена критическая проблема CVE-2017-11779, связанную с DNS-клиентом в составе Windows 8 и более поздних версий операционной системы, а также выпустила обновления безопасности, устраняющие в общей сложности 62 уязвимости в продуктах производителя, в том числе критическую проблему (CVE-2017-11826) в пакете MS Office.

 

CVE-2017-11826 представляет собой уязвимость повреждения памяти, позволяющую злоумышленнику удаленно выполнить произвольный код, обманом заставив пользователя открыть специально сформированный файл. Проблема затрагивает все поддерживаемые версии MS Office.

По имеющимся сведениям данная уязвимость была успешно проэксплуатирована в конце сентября нынешнего года. Злоумышленники использовали фишинг для того, чтобы заставить пользователей открыть вредоносный документ. В результате на компьютер жертвы загружался троян для хищения конфиденциальной информации с инфицированных устройств.

Уязвимость CVE-2017-11779, связанная с DNS-клиентом, обнаружена в составе операционных систем Windows 8, Windows 10, Windows Server 2012 и Windows Server 2016. Проблема затрагивает файл DNSAPI.dll (файл, который обрабатывает DNS-запросы и получает ответы от сервера).

Она позволяет злоумышленнику отправить специально сформированный ответ DNS и выполнить произвольный код от имени приложения, сделавшего DNS-запрос. Для эксплуатации уязвимости настраивается вредоносный DNS-сервер, перехватывающий DNS-трафик. Далее только злоумышленнику остается ждать, когда приложения с правами администратора или системы сделают DNS-запрос.

Служба кэширования Windows DNS, использующая файл DNSAPI.dll автоматически перезапустится, если произойдет сбой. Таким образом злоумышленник получит возможность эксплуатировать уязвимость неограниченное число раз до тех пор, пока не получит доступ к системному уровню.

 

Центр Кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендует установить выпущенные производителем обновления безопасности, а также не открывать сообщения и вложения к ним от незнакомых источников, и, по возможности, не использовать электронные устройства с критичной, в том числе конфиденциальной, информацией в сетях c неизвестным уровнем защищенности.