02.02.2018
Центр защиты информации

ОБНОВЛЕНИЕ СИГНАТУР СОВ DALLAS LOCK

При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock специалисты ООО «Конфидент» обратили внимание на уязвимость Microsoft Office Memory Corruption, получившую идентификатор CVE-2018-0802.

Данная уязвимость позволяет атакующему запускать произвольный код в контексте текущего пользователя. При условии того, что пользователь зарегистрирован с правами администратора, злоумышленник может взять под свой контроль затронутую систему. После этого появляется возможность устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с полными правами пользователя. 

Способ реализации уязвимости CVE-2018-0802

Злоумышленник предоставляет специально созданный файл документа, сформированный в уязвимой версии Microsoft Office или программы Microsoft WordPad. Затем, пользуясь приемами социальной инженерии, он убеждает пользователя открыть файл документа.

Рекомендации по безопасности:

  1. Если у вас не включено автоматическое обновление Microsoft Windows, включите его.

  2. Если у вас не включено автоматическое обновление СОВ Dallas Lock, установите новые базы сигнатур:
    СОВ ⇒ Параметры СОВ ⇒ Глобальные параметры ⇒ Запустить процесс обновления

  3. Включите автоматическое обновление сигнатур СОВ Dallas Lock.

Дополнительные рекомендации:

  • запускайте все программное обеспечение как непривилегированный пользователь с минимально необходимыми правами доступа;

  • не принимайте и не выполняйте файлы из ненадежных или неизвестных источников;

  • не переходите по неизвестным ссылкам, не доверяйте ссылкам в непроверенных источниках;

  • своевременно обновляйте сигнатуры средств безопасности.

В СОВ Dallas Lock добавлена соответствующая защитная сигнатура.

Никогда не посещайте сайты сомнительной целостности и особенно ссылки, предоставленные незнакомыми или ненадежными источниками.

В предыдущих обновлениях сигнатур СОВ также были добавлены сигнатуры, защищающие, в том числе от следующих новых уязвимостей (подробнее о каждой из уязвимостей можно прочесть на сайте https://cve.mitre.org/):

  • CVE-2018-5282;

  • CVE-2018-5359;

  • CVE-2017-15663;

  • CVE-2017-11914;

  • CVE-2018-0775;

  • CVE-2018-0776;

  • CVE-2018-0769.

Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур Системы обнаружения и предотвращения вторжений Dallas Lock.

Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:

СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости