USD 96.1 ЕВРО 105.49

Хакеры, проникшие в RSA, использовали уязвимость нулевого дня во флэш

Экономика

Хакеры, проникшие в RSA, использовали уязвимость нулевого дня во флэш

Сотрудники, открывшие подставной документ Excel впустили в сеть хакеров

Атака в прошлом месяце
(http://www.npsod.ru/rus2/marketevents/document30490.phtml)
на RSA Security началась с использования незакрытой уязвимости Adobe Flash
Player, подтвердила компания 1 апреля.

Как говорится в заявлении RSA, преступники получили доступ в сеть, отправив
двум небольшим группам ее сотрудников письма с вложенными электронными
таблицами. Один из сотрудников открыл вложение с названием «План по привлечению
персонала в 2011 году».

Таблица содержала вложенный флэш файл, который использует уязвимость
нулевого дня – ошибка, неизвестная в Adobe, и поэтому не устраненная, что
позволило хакерам захватить управление над компьютером сотрудника.

После этого преступник установил на компьютере адаптированный вариант
инструмента удаленного администрирования (RAT) «Poison Ivy». Используя RAT,
хакеры собирали конфиденциальную информацию с других машин в сети и передавали
ее на внешние сервера, находящиеся под их контролем.

Хотя RSA не детализировала, что именно было украдено, она допускает, что
информация, относящаяся к продукту двух – факторной аутентификации SecurID,
стала частью добычи хакеров.

RSA впервые сообщила об атаке и краже данных в четверг, 17 марта.

Однако, за три дня до этого, Adobe выпустила рекомендации по безопасности, в
которых говорилось, что хакеры используют незакрытую уязвимость во Flash
Player, используя подставные документы Excel.

«Есть сообщения, что эту уязвимость использовали в целенаправленных атаках
посредством флэш файлов (.swf), встроенных в файлы Microsoft Excel (.xls) и
доставляемые в качестве почтовых вложений», сообщила компания Adobe 14
марта.

В тоже время, Adobe не назвала RSA в качестве мишени атаки.

Но Adobe пообещала закрыть уязвимость на следующей неделе. Обещание было
выполнено, когда вышло обновление, семь дней спустя, в понедельник, 21
марта.

Анализируя произошедшее, уязвимость Flash должна была быть известна к 17
марта, когда Microsoft порекомендовала пользователям Office защитить
себя, запустив инструмент конфигурации.

Microsoft дала эту рекомендацию за несколько часов до того, как
руководитель из RSA допустил факт взлома их внутренней сети в своем
заявлении.

Должно быть сотрудник RSA, который открыл файл Excel, использовал версию
Office более раннюю, чем Office 2010. Менеджер и инженер по безопасности из
Microsoft Security Response Center (MSRC) сообщил в блоге от 17 марта, что
Excel 2010 не подвержен атакам, которые на тот момент были известны.

Excel 2010 автоматически имеет защиту от исполнения кода DEP (data execution
prevention), ключевая технология Windows против эксплоитов, и изолирует
вредоносный код внутри Office 2010 «Protected View». Это «песочница» не
дает злонамеренному коду выйти за пределы приложения.

Более старые версии Office 2003 и Office 2007, не были защищены DEP или
«Protected View», сообщила Microsoft.

В то время, как RSA охарактеризовала атаку как «advanced persistent threat»
 (APT), т.е. скрытую атаку, часто приписываемую китайским хакерам,
некоторые эксперты в области безопасности считают ее самой обычной.

Источник: www.computerworld.com