Злоумышленники используют уязвимость в Windows File Explorer и WebDAV для скрытой доставки вредоносного ПО
Злоумышленники используют уязвимость в Windows File Explorer и WebDAV для скрытой доставки вредоносного ПО
В последние месяцы киберпреступники активизировали использование устаревшей функции Windows File Explorer в сочетании с протоколом WebDAV для скрытой доставки вредоносных программ. Такой подход позволяет обходить традиционные средства защиты, включая фильтры веб-браузеров и системы обнаружения на конечных устройствах, что значительно усложняет выявление атак.
По данным отчёта специалиста по угрозам Канг Ана из Cofense Intelligence Team, злоумышленники эксплуатируют механизм Web-based Distributed Authoring and Versioning (WebDAV) — протокол, предназначенный для совместной работы с файлами через интернет. Используя WebDAV, атакующие заставляют пользователей запускать вредоносные payload’ы напрямую через Windows File Explorer, минуя привычные точки контроля безопасности.
Как именно работает атака
WebDAV изначально был разработан для упрощения совместного редактирования и управления файлами в сети, но его возможности могут быть использованы в злонамеренных целях. В данном сценарии злоумышленники размещают вредоносный код на удалённом WebDAV-сервере. Затем через специально подготовленные ссылки или документы жертва перенаправляется к этому серверу и, открывая его содержимое через Windows File Explorer, непреднамеренно запускает вредоносный файл.
Важным моментом является то, что File Explorer обрабатывает WebDAV-ресурсы как локальные файлы, что позволяет обойти многие ограничения, которые обычно применяются к веб-браузерам. Таким образом, традиционные механизмы фильтрации и блокировки вредоносных URL часто оказываются неэффективными.
Почему это важно для организаций с внешней поверхностью атаки
Организации, управляющие большим количеством внешних ресурсов и пользователей, особенно подвержены рискам, связанным с подобными методами доставки вредоносного ПО. Использование WebDAV и Windows File Explorer в атаках демонстрирует, что злоумышленники ищут пути обхода стандартных средств защиты, ориентированных на веб-браузеры и антивирусы.
Для команд по информационной безопасности это сигнал о необходимости расширения мониторинга и контроля не только веб-трафика, но и взаимодействия конечных пользователей с сетевыми файловыми системами и протоколами, которые традиционно не считаются критичными точками входа для вредоносного ПО.
Практические рекомендации для безопасности
-
Провести аудит использования WebDAV в корпоративной сети. Определите, где и как используется этот протокол, и оцените необходимость его работы. Если WebDAV не является критичным, рассмотрите возможность его отключения или ограничения доступа.
-
Настроить контроль доступа и мониторинг активности WebDAV-серверов. Внедрите системы обнаружения аномалий, которые смогут выявлять подозрительные подключения и операции с файлами через WebDAV.
-
Обучать сотрудников основам кибергигиены. Поясните риски открытия ссылок и ресурсов, особенно если они ведут к сетевым файловым системам, и подчеркните важность проверки источников.
-
Расширить средства защиты конечных точек. Используйте решения, способные анализировать поведение приложений, включая Windows File Explorer, и выявлять попытки запуска подозрительных файлов из сетевых ресурсов.
-
Интегрировать управление внешней поверхностью атаки (EASM). Постоянно мониторьте и анализируйте все внешние активы, включая WebDAV-серверы, чтобы своевременно выявлять и устранять потенциальные уязвимости.
В условиях постоянного усложнения методов атак важно не ограничиваться традиционными подходами к безопасности, а учитывать все возможные векторы проникновения, включая те, которые основаны на легитимных, но устаревших технологиях. Только комплексный подход позволит эффективно защитить организацию от скрытых угроз.
