Процесс терминирован excel обнаружена попытка эксплуатации уязвимости
41 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C) = Base:5/Temporal:4.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C) = Base:5/Temporal:4.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C) = Base:5/Temporal:4.4 CVE ID:
CVE-2014-8967
CVE-2015-0017
CVE-2015-0018
CVE-2015-0019
CVE-2015-0020
CVE-2015-0021
CVE-2015-0022
CVE-2015-0023
CVE-2015-0025
CVE-2015-0026
CVE-2015-0027
CVE-2015-0028
CVE-2015-0029
CVE-2015-0030
CVE-2015-0031
CVE-2015-0035
CVE-2015-0036
CVE-2015-0037
CVE-2015-0038
CVE-2015-0039
CVE-2015-0040
CVE-2015-0041
CVE-2015-0042
CVE-2015-0043
CVE-2015-0044
CVE-2015-0045
CVE-2015-0046
CVE-2015-0048
CVE-2015-0049
CVE-2015-0050
CVE-2015-0051
CVE-2015-0052
CVE-2015-0053
CVE-2015-0054
CVE-2015-0055
CVE-2015-0066
CVE-2015-0067
CVE-2015-0068
CVE-2015-0069
CVE-2015-0070
CVE-2015-0071
Вектор эксплуатации:
Воздействие:
Раскрытие важных данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Наличие эксплоита:
Уязвимые продукты: Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 9.x
Microsoft Internet Explorer 10.x
Microsoft Internet Explorer 11.x
Описание:
Уязвимости позволяют удаленному пользователю скомпрометировать систему, повысить привилегии, обойти ограничения безопасности и раскрыть важные данные.
1 - 30) Уязвимость существует из-за ошибки, вызванной некорректным обращением к памяти. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код с привилегиями текущего пользователя.
Примечание: Успешная эксплуатация уязвимости требует, чтобы пользователь перешел по вредоносной ссылке или открыл вредоносное вложение.
31, 39, 41) Уязвимость существует из-за того, что в некоторых ситуациях Internet Explorer не использует технологию ASLR. Удаленный пользователь может обойти определенные ограничения безопасности.
34, 35) Уязвимость существует из-за неверной проверки разрешений безопасности в некоторых сценариях. Удаленный пользователь может повысить привилегии и выполнить произвольный код с привилегиями текущего пользователя.
Примечание: Успешная эксплуатация уязвимости требует, чтобы пользователь перешел по вредоносной ссылке или открыл вредоносное вложение.
40) Уязвимость существует из-за того, что Internet Explorer в некоторых ситуациях не исполняет кросс-доменные политики. Удаленный пользователь может раскрыть важные данные.
32, 33, 36-39) Уязвимость существует из-за ошибки, вызванной некорректным обращением к памяти. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код с привилегиями текущего пользователя.
Примечание: Успешная эксплуатация уязвимости требует, чтобы пользователь перешел по вредоносной ссылке или открыл вредоносное вложение.
Антивирусы определяют его как:
HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с) [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT]
Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
Прошу проконсультировать:
1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
Заранее благодарю.
Это была преамбула, теперь более развернутая информация:
С их диагностики всё началось, с ними же грустнее всего.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH
Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Компьютер: VIRTUALMACHINE
Пользователь: VIRTUALMACHINE\Администратор
Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
Имя объекта: C:\Windows\System32\mue.exe
MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
Компьютер: network
Пользователь: VIRTUALMACHINE\Администратор
Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
При отключения Касперского машина заражается.
Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса:
Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer\CommandLineTemplate
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
После перезагрузки запустил автоматический сбор логов.
Прикладываю файлы сканирования с сервера.
CollectionLog-2021.08.26-15.38.zip
Добрый день!
Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
Подскажите, пожалуйста, в чем может быть проблема.
Ругается на троян Trojan.Win32.Agent.gen
Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
Всем привет! Уверен, что вы наслышаны о недочетах технологии Windows UAC, однако относительно недавно появились подробности любопытной уязвимости, эксплуатация которой дает возможность непривилегированному пользователю максимально повысить привилегии. В Jet CSIRT мы не оставили этот случай без внимания, ведь для любой команды мониторинга и реагирования на инциденты ИБ уязвимости класса Privilege Escalation представляют особый интерес. Под катом — описание уязвимости, способы детекта и защиты.
Детали уязвимости
Исследователь Eduardo Braun Prado из команды Zero Day Initiative обнаружил уязвимость локального повышения привилегий в компоненте Windows Certificate Dialog, которая возникает из-за некорректной обработки пользовательских привилегий. Уязвимость позволяет повысить привилегии пользователя до максимально возможных SYSTEM и обойти все защитные механизмы ОС Windows. Это происходит при эксплуатации механизма Windows UAC, когда пользователь взаимодействует с компонентом Безопасного рабочего стола (Secure Desktop), открыв диалог запуска файла от имени Администратора.
В чем суть уязвимости? Сертификат исполняемого файла содержит необязательное численное поле «Идентификатор политики» в формате Microsoft-specific object identifier (OID).
Заголовочный файл Wintrust.h определяет это поле как SPC_SP_AGENCY_INFO_OBJID. Хотя его назначение слабо документировано, скорее всего, оно анализируется при открытии окна с деталями сертификата. При представлении данного поля в корректном формате поле Issued by («Кем выдано») будет отображено в виде гиперссылки со значением, взятым из атрибута SpcSpAgencyInfo.
При клике по ссылке c полем Issued by откроется браузер Internet Explorer с правами SYSTEM. Родительским процессом для него будет выступать процесс consent.exe. Он также выполняется с максимальными привилегиями, и именно в его контексте запускается диалог UAC. Соответственно, далее появляется возможность запуска произвольного файла (cmd.exe, powershell.exe) из меню браузера с унаследованными правами SYSTEM.
В качестве PoC для демонстрации эксплуатации уязвимости (видео приведено ниже) исследователь предложил использовать утилиту HTML Help ActiveX Control, сертификат которой обладает описанными выше особенностями.
При этом существует возможность подписать любой исполняемый файл подобным образом, например, с помощью powershell командлета Set-AuthenticodeSignature. Предварительно потребуется создать самоподписанный сертификат корневого удостоверяющего центра и конечный сертификат средствами утилиты makecert из набора Windows SDK. Инструкция приведена по ссылке.
Уязвимость получила идентификатор CVE-2019-1388 и CVSS 7.8. Ей оказались подвержены все версии ОС от Windows 7 до Windows Server 2019. После установки патча поле Issued by в деталях сертификата перестает отображаться как гиперссылка.
Массовая эксплуатация этой уязвимости маловероятна ввиду трудности автоматизации. Ведь для реализации атаки на ее основе пользователю потребуется выполнить немало действий — от открытия окна с сертификатом исполняемого файла до запуска командной строки через интерфейс Internet Explorer. Поэтому наиболее вероятный сценарий атаки может быть связан с действиями внутреннего нарушителя.
Как обнаружить
Для обнаружения эксплуатации уязвимости на платформах Windows x64 мы в Jet CSIRT используем в SIEM-системе правило корреляции, отслеживающее цепочку событий (на контролируемом узле предварительно необходимо включить аудит запуска процессов посредством соответствующей групповой политики либо использовать утилиту Sysmon от Sysinternals):
- Детектирование запуска процесса constent.exe с правами SYSTEM (код события 4688).
- Детектирование запуска процесса C:\Program Files\iexplore.exe с правами SYSTEM, где в качестве родительского процесса выступает consent.exe.
- Детектирование запуска процесса C:\Program Files (x86)\iexplore.exe с правами SYSTEM, где в качестве родительского процесса выступает C:\Program Files\iexplore.exe.
Детализация условия запуска consent.exe
Детализация условия запуска IEx64
Детализация условия запуска IEx86
Детализация условия запуска cmd.exe, powershell.exe
Исследователь Florian Roth выложил Sigma-правило для обнаружения попытки эксплуатации данной уязвимости. Однако из-за ограничений языка с помощью правила можно выявлять только событие запуска Internet Explorer с правами SYSTEM и родительским процессом consent.exe без последующего детектирования запуска командных интерпретаторов. Отследить цепочку нужных событий при соблюдении описанных выше условий (1-5) средствами Sigma не представляется возможным, из-за чего мы вынуждены были разработать собственное правило.
Как защититься
1. Установить патч Microsoft от 12 ноября для соответствующей версии ОС.
2. Если патч для устранения данной уязвимости установить нельзя, стоит воспользоваться:
McAfee и FireEye сообщили об обнаружении реальных атак на пользователей Microsoft Word через новую 0day-уязвимость, для которой пока не выпущено патча. Уязвимость позволяет незаметно выполнить на компьютере жертвы произвольный код и установить вредоносное программное обеспечение. Что самое неприятное, уязвимости подвержены все версии MS Word на всех версиях Windows, в том числе последняя версия Office 2016 под Windows 10, даже с отключенными макросами.
Microsoft уведомлена об уязвимости и должна успеть подготовить патч к обновлению безопасности Patch Tuesday, которое состоится завтра, 11 апреля. Впрочем, как показывает история с похожей 0day-уязвимостью CVE-2014-4114/6352 (aka Sandworm), компании Microsoft не всегда удаётся закрыть 0day с первого патча.
Исследователи из McAfee пишут, что обнаружили первые атаки с использованием этого 0day в январе текущего года. Судя по всему, они только недавно получили образцы вредоносного кода, так что смогли подробно проанализировать механизм заражения.
Во время атаки используются файлы Word (конкретно, документы RTF с расширением .doc).
При помощи исполнения .hta, пишут исследователи McAfee, авторы эксплойта эффективно обходят все меры по защите памяти, реализованные в Microsoft, а также антивирусную защиту и большинство других методов защиты.
Вот фрагмент коммуникации с сервером:
Маскировка HTA в виде документа RTF осуществляется для обхода антивирусных программ, если таковые установлены на компьютере жертвы. В нижней части этого документа записаны вредоносные скрипты Visual Basic, которые и делают всю работу.
Эксперты McAfee пишут, что данная 0day-уязвимость связана с работой функции Object Linking and Embedding (OLE) — важной части функциональности Office, которая фактически позволяет встраивать одни документы внутрь других. Эта функция неоднократно использовалась для различных атак. Например, ещё в 2015 году те же специалисты McAfee подготовили презентацию для хакерской конференции Black Hat USA, в которой рассказали о возможных векторах атаки через OLE.
В продуктах FireEye вредоносные документы определяются как Malware.Binary.Rtf.
Специалисту по безопасности Микко Хиппонену стало известно, что Microsoft точно выпустит патч для этой уязвимости в ближайший Patch Tuesday, то есть завтра, 11 апреля 2017 года.
Кстати, это рекомендация от Райана Хансона (Ryan Hanson), который утверждает, что именно он обнаружил эту 0day в июле, а сообщил о ней в октябре 2016 года. А сейчас её разгласили посторонние лица. Если он говорит правду, то Microsoft действительно очень долго закрывает критические уязвимости.
This tweet is my acknowledgement a MS Word 0day I discovered in July, and disclosed in October, has been publicly disclosed by someone else.
— Ryan Hanson (@ryHanson) April 9, 2017
Но тесты показали, что при открытии в защищённом режиме Office Protected View эксплойт не может запуститься на исполнение, так что блокировать RTF — это крайняя мера.
В любом случае, всем пользователям Microsoft Office в ближайшее время настоятельно рекомендуется:
Антивирусные компании не говорят, кто стал жертвами атак. Но из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
Читайте также: