Блог Алексея Лукацкого, бизнес-консультанта компании Cisco по вопросам информационной безопасности
Речь дальше пойдет не об одноименном культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен «Лабораторией Касперского», о чем ее специалисты объявили 14 января. Я уже прокомментировал это на телевидении, а сейчас хочу порассуждать не о природе и создателях Red October и даже не о том, как он работает. Речь пойдет о том, как с этим вредоносным кодом бороться.
По мнению экспертов «Лаборатории Касперского», расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:
• CVE-2009-3129 – Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
• CVE-2010-3333 – Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
• CVE-2012-0158 – Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
• CVE-2011-3544 – Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.
Аналитики исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. В отношении первых двух уязвимостей, известных еще с 2009-го и 2010-го годов, мы выпустили бюллетени с рекомендациями по отражению соответствующих угроз:
• Vulnerability Alert: Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
• Vulnerability Alert: Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
• Applied Mitigation Bulletin: Microsoft Security Bulletin Release for November 2010
• Applied Mitigation Bulletin: Microsoft Security Bulletin Release for November 2009, –
а также 4 сигнатуры для решений Cisco по обнаружению и предотвращению вторжений Cisco IPS: 22083-0, 21920-0, 31239-1 и 31239-0.
В целях борьбы с новой уязвимостью, позволяющей удаленное выполнение кода (описана в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution), мы также провели целый ряд исследований, выпустив затем соответствующие бюллетени, рекомендации и сигнатуры:
• Vulnerability Alert: Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
• Event Response: Microsoft Security Bulletin Release for April 2012
• Applied Mitigation Bulletin: Microsoft Security Bulletin Release for April 2012
• Cisco IPS Signature 1131-0.
В последнем случае идентифицировать угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая одним из командных серверов Red October, также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры доступны пользователям Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.
Вышеупомянутые ресурсы для борьбы с Red October – лишь один пример деятельности специалистов Cisco SIO, в круглосуточном режиме обеспечивающих защиту информационных систем и сетей наших заказчиков. На указанном выше портале можно регулярно получать информацию следующего характера:
• Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые потенциально могут иметь серьезные последствия для устройств, приложений и сетей заказчиков.
• Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) содержит описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
• IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
• IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое “раннее предупреждение” об угрозе, ее анализ и разбор потенциальных последствий.
О компании Cisco
Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.
Чистый объем продаж компании в 2012 финансовом году превысил 46 млрд долларов.
Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.