Обнаружена сетевая атака DoS.Win.CVE-2021-31166.a
Антивирус Kaspersky Internet Security многоразово сообщал о том, что обнаружена и предотвращена сетевая атака:
Компонент: Защита от сетевых атак Описание результата: Запрещено Название: DoS.Win.CVE-2021-31166.a Объект: TCP от 35.239.78.160 на 192.168.1.100:80 Надо отдать должное разработчикам антивирусной программы Kaspersky Internet Security (KIS) - именно благодаря ее сообщениям о том, что сетевая атака остановлена получилось обратить внимание на эту проблему, которая проявляла себя почти весь день, пока рабочее место было включено, но активно в работе не использовалось. Нажатие на изображении увеличит его По данным сайта и описания проблемы на securitylab.ru - Опубликован PoC-код для эксплуатации уязвимости в Windows IIS заключается в уязвимости самой операционной системы Windows. Проблема оказалась в перспективе опасной, если все же не получиться "отбиться" окончательно и не прекратить поток сетевых атак. Так как через уязвимость возможно отправить специально сформированный пакет директив и выполнить вредоносный код в ядре самой операционной системы компьютера, который подвергается сетевой атаке. Поэтому нужно было оперативно решать проблему. Первым делом было предпринято решение о том, чтобы установить обновления Windows 8, которые были не установлены среди которых "обновление систем безопасности Windows", так как логично предположить, что, возможно, "дыра" в ОС будет устранена в обновлении, поскольку о ней уже известно. Нажатие на изображении увеличит его Обновления были установлены, но это не привело к желаемому результату - сетевые атаки продолжались с той же интенсивностью. Поэтому вопрос о том, как же защититься, остановить, прекратить сетевые атаки DoS.Win.CVE-2021-31166.a остался актуальным. Поиск на сайте Microsoft предоставил надежду за счет изложенного описания на странице Exploit:Python/CVE-2021-31166. В статье было указано на то, что "Microsoft Defender Antivirus detects and removes this threat." - Microsoft Defender Antivirus ("Защитник Windows"), если он установлен, обнаруживает проблему и устраняет угрозу. Но это не подходило в данному случае, т.к. "Защитник Windows" был отключен из-за того, что использовался антивирус KIS:
Что же еще Microsoft предлагало сделать, чтобы устранить угрозу DoS.Win.CVE-2021-31166.a? "Use the following free Microsoft software to detect and remove this threat" - предлагалось использовать на выбор из предложенных программ для обнаружения и устранения проблемы. "Windows Defender for Windows 10 and Windows 8, or Microsoft Security Essentials for Windows 7 and Windows Vista" - использовать программу Windows Defender для ОС Windows 10 и Windows 8 или программу Microsoft Security Essentials для операционных систем Windows 7 и Windows Vista". Или последний вариант - программу Microsoft Safety Scanner. Нажатие на изображении увеличит его Если бы все же программа "Защитник Windows" была активна и не использовалась другая антивирусная программа, то тогда последовательность действий была бы стандартной при работе с "защитником", как описано в статье на сайте microsoft.com Защита с помощью панели "Безопасность Windows" Нажатие на изображении увеличит его Программа Microsoft Safety Scanner была скачана по предоставленной ссылке c docs.microsoft.com в статье с описанием возможных вариантов решения и устранения угрозы. На странице скачивания нужно отметить важное замечание: "Safety Scanner only scans when manually triggered and is available for use 10 days after being downloaded. We recommend that you always download the latest version of this tool before each scan." - Сканер безопасности сканирует только при ручном запуске и доступен для использования в течение 10 дней после загрузки. Рекомендуется всегда загружать последнюю версию этого инструмента перед каждым сканированием. Был скачан файл сканера для x64-разрядности ОС - msert.exe.
Файл был запущен. Он не требует специальной установки. Следуя шагам помощника вручную полная проверка сканнера запускается.
На следующем шаге предлагается выбрать вариант сканирования. Quick scan - быстрое сканирование (сканируются системные каталоги, если находятся подозрительные программы, то можно запустить полное сканирование). Full scan - полное сканирование всех файлов на компьютере, может занять несколько часов. Customized scan - выборочное сканирование - можно вручную указать области для сканирования. Но, т.к сетевая аката - это не шутки, то лучше использовать полное сканирование. Выбираем его и переходим к следующему шагу, нажав "Далее >".
Запуститься сканирование. Придется ожидать достаточно продолжительное время, пока программа просканирует все файлы на предмет наличия угроз. В течение почти 5,5 часов работы и проверки более 10 млн. файлов было обнаружено 31 инфицированный.
После окончания выполнения сканирования программа сообщить об окончании сканирования и что обнаруженные вирусы, шпионские программы и другие потенциально опасные были обнаружены и удалены - "The scan completed successfully and viruses, spyware, and other potentially unwanted software were detected adn removed". Можно просмотреть результат сканирования подбробно - "View detailed results of the scan".
После всех этих операция сетевые атаки прекратились. На основании описанных событий можно сделать вывод о том, что одной только антивирусной программы для построения защиты от вирусов и сетевых атак недостаточно. Пожалуй, неплохо с уязвимостями самой ОС Windows будет справляться и программа от разработчика Microsoft Safety Scanner, поскольку они раньше остальных могут узнать об угрозах, чем разработчики сторонних защитных программ. Оцените, оказалась ли эта публикация полезна для Вас?
© www.azhur-c.ru 2013-2020. Все права защищены. Использование текстов и изображений с данной страницы без письменного разрешения владельца запрещено. При использовании материалов с данной страницы обязательно указание ссылки на данную страницу. 13-06-2022 Журавлев А.С. (Сайт azhur-c.ru) |
|
|||||||||||||
Copyright 2013-. Azhur-c.ru
ИП Журавлев Александр Сергеевич ИНН 667000271590 ОГРНИП 312667014300041 |