Антивирусная лаборатория PandaLabs компании Panda Security по результатам анализа телеметрических данных выявила активную криптомайнинговую кампанию, направленную на Windows Server 2003, который имеет IIS 6.0 с включенным WebDAV.
В рамках данной кампании злоумышленники, используя незакрытую уязвимость CVE-2017-7269, на пораженных компьютерах запускают процессы для майнинга криптовалют. Более того, экспертами PandaLabs было установлено, что в некоторых случаях злоумышленники также выполняли метасплойт, который открывал на пораженных компьютерах «двери» для других угроз, например, извлечение паролей, получение обратной оболочки (reverse shell) и т.д.
Что такое WebDAV
WebDAV (Web-based Distributed Authoring and Versioning) представляет собой веб-средства для распределенной разработки и управления версиями. Это набор расширений и дополнений к протоколу HTTP, поддерживающих совместную работу пользователей над редактированием файлов и управление файлами на удаленных веб-серверах. В качестве миссии рабочей группы по созданию DAV было заявлено: "разработка дополнений к протоколу HTTP, обеспечивающих свободное взаимодействие инструментов распределенной разработки веб-страниц, в соответствии с потребностями работы пользователей".
Однако в процессе эксплуатации DAV нашёл себе ряд других применений, выходящих за первоначально принятые рамки коллективной работы над веб-документами. Сегодня DAV применяется в качестве сетевой файловой системы, эффективной для работы в Интернете и способной обрабатывать файлы целиком, поддерживая хорошую производительность работы в условиях окружения с высокой временной задержкой передачи информации. Кроме того, DAV широко применяется в качестве протокола для доступа через Интернет и манипулирования содержимым систем документооборота (document management system). Ещё одной важной целью DAV является поддержка работы распределенных команд по разработке программного обеспечения. В качестве резюме задачу создания DAV можно указать так: на волне повсеместного использования HTTP в качестве стандартного уровня доступа к широкому кругу хранилищ информации расширить его возможности средствами записи информации (HTTP — доступ на чтение, DAV — доступ на запись).
Таким образом, DAV подходит для управления файлами на веб-серверах, иными словами, реализации облачных хранилищ информации, где и был применен. С его помощью можно выполнять основные операции над файлами, содержащимися на сервере, проводить расширенные операции, как то: блокировка, получение метаданных, контроль версий и другие. Этот протокол стал заменой для старого доброго FTP, чье время подошло к концу.
Подробнее о WebDAV: https://xakep.ru/2014/09/09/webdav/
Уязвимость CVE-2017-7269
По данным SecurityLab, исследователи Южно-китайского технологического университета обнаружили данную уязвимость в Windows Server 2003 и опубликовали PoC-код эксплоита на GitHub почти два года назад. Уязвимость эксплуатируется с середины 2016 года, однако о ней стало широко известно только весной 2017 года, когда все больше хакеров стали работать над своими эксплойтами.
Уязвимость присутствует в компоненте IIS WebDAV и может быть использована с помощью специально сконфигурированного запроса с использованием команды PROPFIND. С ее помощью злоумышленник может вызвать отказ в обслуживании или выполнить произвольный код.
Рекомендации
С момента появления данной уязвимости ей были подвержены сотни тысяч компьютеров по всему миру, на которых были установлены Windows Server 2003, Windows XP и ряд других версий операционной системы Windows. Изначально корпорация Microsoft не планировала выпускать патч для закрытия этой уязвимости, т.к. некоторые старые версии ее операционных систем уже не поддерживались.
Однако в июне 2017 года стал доступен патч Microsoft для закрытия уязвимости CVE-2017-7269 в операционных системах Windows XP и Windows Server 2003. Поэтому, мы настоятельно рекомендуем тем пользователям с Windows Server 2003, кому требуется использование WebDAV, применить патч для закрытия этой уязвимости:
В том же случае, если использование WebDAV не является критичным, мы рекомендуем отключить этот компонент.
И снова мы обращаем ваше внимание на то, что очень многие атаки становятся успешными в результате того, что пользователи не применяют своевременно требуемые обновления и патчи для устранения вновь обнаруженных уязвимостей и дыр безопасности в операционных системах и приложениях. Поэтому крайне важно регулярно и своевременно обновлять ваше программное обеспечение. В этом вам могут помочь автоматизированные средства для контроля обновлений и управления уязвимостями, такие как Panda Patch Management – специальный модуль, интегрированный в корпоративные решения Panda.
