Heartbleed

Как баг в Linux может повлиять на Windows-инфраструктуру

Недавние события, связанные с «большими багами«, такими как Heartbleed и Shellshock, породили глобальный переполох в кибербезопасности, подняв массу вопросов. Оба изъяна относились к программному обеспечению с открытым исходным кодом, но

Yuri Ilyin
20 октября 2014

Недавние события, связанные с «большими багами«, такими как Heartbleed и Shellshock, породили глобальный переполох в кибербезопасности, подняв массу вопросов. Оба изъяна относились к программному обеспечению с открытым исходным кодом, но косвенно они могли представлять угрозу и для Windows-инфраструктуры.

Как баг в Linux может повлиять на Windows-инфраструктуру#enterprisesec
Tweet

Многие ИТ-специалисты сходятся в том, что для определения степени воздействия бага в Linux на Windows-инфраструктуру требуются определенные разъяснения. Эксперты наметили несколько сценариев, в которых успешно эксплуатируемый изъян в Linux или некоем дополнительном к нему программном обеспечении может использоваться для нанесения ущерба Windows-инфраструктуре. В зависимости от роли Linux-компьютера в сети последствия могут быть более или менее драматичными.

1. У ворот…

Наихудший сценарий развивается в том случае, если уязвимая Linux-машина является основным шлюзом локальной сети компании.

Падая сама, она роняет всю сеть. Останавливается раздача сетевых адресов, трафик через нее не проходит, поэтому вас отрубает от интернета, и локальная сеть рушится. Не имеет значения, что за система установлена на конечной рабочей станции — Windows, Mac OS X или другая ОС (может, какой-то из десктопных вариантов Linux). Если злоумышленники «прихватизировали» и обрушили шлюз, то всей системе каюк. Однако, куда вероятнее, что охочие до наживы преступники будут использовать эту машину для оборудования плацдарма в корпоративной сети, по возможности долговременного, если учесть, что сетевым устройствам часто перестают уделять внимание, а машины на базе Linux считаются безопасными и устойчивыми к атакам.

Тот же сервер может использоваться и для перенаправления всего трафика на или через некий вредоносный веб-сайт с подсадкой вредоносных программ для Windows на все конечные устройства. Несколько лет назад горстке меняющих настройки DNS троянов удалось натворить дел. В их числе был и пресловутый Zlob. Один из его вариантов был назван DNSChanger, и для его обезвреживания понадобилась спецоперация ФБР «Operation Ghost Click». Оперативники ФБР угнали контрольные серверы DNSChanger, а затем продолжали поддерживать их работу в течение нескольких месяцев, одновременно активно принимая меры по очистке пользовательских ПК, чтобы люди не остались совсем без подключения к интернету.

Был и ряд других попыток задействовать варианты Zlob (часто вполне успешных) для взлома любого обнаруженного маршрутизатора и изменения настроек DNS. После чего маршрут трафика менялся с законных сайтов на подозрительные или вредоносные, а в браузере отображался ворох баннеров взрослой тематики.

Если говорить конкретно о Shellshock, то опасения, что его можно использовать для атак на широкополосные маршрутизаторы, всплыли почти сразу. А поскольку Shellshock предоставляет потенциальную возможность запуска произвольного кода на уязвимой системе, нетрудно представить себе многоступенчатую атаку с целью обрушить всю сеть компании-мишени или просто для слежки за ней.

2. Где файлы дикие растут

Есть и другой сценарий, при котором злоумышленники стремятся взять сервер под свой контроль, чтобы иметь доступ ко всем корпоративным данным, хранящимся на нем и распределяющимся между работниками, при условии передачи информации в незашифрованном виде.

В компаниях широко принято использовать серверы на Linux для нужд совместной работы и обмена файлами между конечными пользовательскими машинами на базе Windows. Злоумышленники могут сделать мишенями для спиэрфишинга некоторых сотрудников компании, подсаживая шпионскую вредоносную программу на его или ее десктоп и беря его под свой контроль. Затем они пытаются выявить файл-сервер на том основании, что он находится в той же сети, что и атакованный десктоп, и, убедившись, что он работает на Linux с неисправленной уязвимостью Bash, эксплуатируют баг, чтобы перехватить контроль и над сервером тоже. После этого уже они могут теоретически что угодно делать с хранящимися там данными — экспортировать, изменять, удалять или даже установить дополнительное вредоносное ПО, которое будет распространяться по всей сети, заражая другие компьютеры. Если данные не шифруются, это всё раз плюнуть.

Захват сервера равносилен занятию господствующей высоты. #enterprisesec
Tweet

Возможность таких «многоступенчатых» атак, в которых злоумышленники используют вредоносные программы для различных операционных систем, была предсказана экспертами «Лаборатории Касперского» много лет назад; даже тогда было ясно, что, несмотря на бытующее мнение, Linux не застрахован от вредоносных атак.

Возникает также вопрос об атаке виртуальной инфраструктуры, в которой большинство виртуальных машин работают на Windows, а гипервизор управляется Linux. Об этом мы поговорим в нашем следующем посте.

Белая магия: как работает технология белых списков

Принято считать, что работа антивируса — блокировать все опасные программы. На самом деле его задача состоит в том, чтобы определить, какие программы безопасны

Безопасность детей и защита приватности

Защита отдельных узлов сети

Другие решения

Другие Отрасли

Другие Продукты

Другие Сервисы

Как баг в Linux может повлиять на Windows-инфраструктуру

Сердечное кровотечение: обзор ущерба от Heartbleed

Ландшафт угроз в эпоху таргетированных атак

Белая магия: как работает технология белых списков

Советы

Домашние прокси: в чем риски для организаций?

Сейчас вылетит (верифицированная) птичка, или как распознать фейк

Реклама на службе у… спецслужб

Босс или мошенник? Обман под видом поручений начальства

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия