Неисправленная уязвимость в Microsoft Windows активно используется десятком хакерских группировок. Киберэксперт компании «Газинформсервис» рассказал, как защититься от угрозы.

Уязвимость используется хакерами для кибершпионажа, кражи данных и финансово мотивированных атак.

Эксперты говорят, что проблема связана с обработкой файлов Windows Shortcut (.LNK) и позволяет злоумышленникам скрыто выполнять вредоносные команды на целевой машине. Основной метод обхода защиты — использование скрытых аргументов командной строки с символами Line Feed (\x0A) и Carriage Return (\x0D).

Атаки направлены против правительств, финансовых организаций, телекоммуникационных компаний, аналитических центров и военных структур в России, США, Канаде, Южной Корее, Вьетнаме и Бразилии.

Несмотря на высокие риски, Microsoft оценивает уязвимость как низкую по степени критичности и не планирует выпуск исправления. Эксперты предупреждают, что отсутствие патча оставляет организации уязвимыми перед атаками, скрывающими критически важную информацию от пользователей.

«Опасность ситуации усугубляется тем, что Microsoft формально признала проблему, но не планирует выпускать обновление. Фактически компания "легализует" уязвимость, оставляя миллионы устройств и организаций без защитного патча. В результате уязвимость может затронуть любой сегмент бизнеса из-за потенциальной опасности выполнения вредоносного кода. Рекомендуется настроить фильтрацию вложений на расширение .lnk, уведомить персонал и организовать защиту в разных плоскостях инфраструктуры. В данном случае логично использовать решение класса RBI, такое как Ankey RBI, чтобы упредить случаи загрузки потенциально опасных файлов через сеть Интернет. В случае, если вредонос оказался в корпоративной среде, решение класса SIEM может заметить непривычные массовые запуски .LNK-файлов. Ankey SIEM NG не предотвратит саму эксплуатацию, но ускорит обнаружение вторжения и реагирование на него, что крайне важно для минимизации ущерба», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.