Уязвимость Windows Webdav способствует распространению скрытого вредоносного ПО Arabian Post

(MENAFN — The Arabian Post)

Злоумышленники используют устаревшую функцию Windows для доставки вредоносного ПО с удалённым доступом, обходя обычные средства защиты браузеров и некоторые инструменты мониторинга конечных устройств, согласно новым данным кибербезопасных исследователей.

Аналитики Cofense Intelligence обнаружили текущую кампанию, в рамках которой злоумышленники злоупотребляют протоколом WebDAV (Web Distributed Authoring and Versioning) в сочетании с Windows File Explorer. Этот метод позволяет запускать вредоносные файлы, размещённые на удалённых серверах, через встроенный файловый менеджер операционной системы, а не через веб-браузер, что снижает вероятность обнаружения традиционными средствами веб-безопасности.

WebDAV — расширение протокола HTTP, позволяющее управлять файлами на удалённых веб-серверах так, будто они хранятся локально. Хотя он был разработан в конце 1990-х для совместного редактирования и обмена файлами через интернет, он по-прежнему поддерживается в современных версиях Microsoft Windows, включая Windows 10 и Windows 11. Его интеграция с File Explorer позволяет монтировать и просматривать удалённые папки прямо в рабочем столе.

Исследователи безопасности отмечают, что злоумышленники используют эту функцию, отправляя фишинговые письма со ссылками, отформатированными для открытия через File Explorer с помощью путей «file://» или WebDAV. При нажатии на ссылку система подключается к управляемому злоумышленниками удалённому серверу WebDAV. Жертвы видят обычную файловую структуру, часто с ярлыком или иконкой документа, имитирующими легитимный файл.

После открытия таких файлов происходит загрузка и запуск удалённого доступа Trojan (RAT), предоставляющего злоумышленникам постоянный доступ к скомпрометированной системе. RAT обычно позволяет выводить данные, захватывать нажатия клавиш, внедрять дополнительные вредоносные компоненты и перемещаться по сети. В корпоративных средах это может привести к краже учетных данных, развертыванию программ-вымогателей или более широкому взлому сети.

Смотрите также: Криптовалютный найм меняется: рост за счёт нетехнических ролей

Аналитики Cofense Intelligence отмечают, что поскольку взаимодействие происходит через Windows File Explorer, а не браузер, некоторые уровни защиты могут не активироваться. Веб-браузеры обычно включают песочницы, фильтрацию URL и механизмы репутационной блокировки. В отличие от этого, соединения File Explorer с WebDAV могут не проходить такую проверку, особенно в средах, где устаревшие протоколы остаются включёнными для совместимости.

Кибербезопасные специалисты давно предупреждают о рисках использования устаревших служб, встроенных в операционные системы. WebDAV неоднократно использовался в цепочках атак за последние годы, часто в сочетании с фишингом. Microsoft давала рекомендации отключать службы WebClient, связанные с WebDAV, если они не нужны, однако многие организации продолжают использовать их для внутренних процессов или устаревших приложений.

Последняя кампания отражает тенденцию, когда злоумышленники пытаются обходить системы обнаружения и реагирования, злоупотребляя доверенными встроенными инструментами. Этот подход, называемый «living off the land», снижает необходимость внедрения явно вредоносных бинарных файлов на начальных этапах атаки. Вместо этого злоумышленники используют легитимные компоненты системы для закрепления позиций, прежде чем запускать более заметное вредоносное ПО.

Компании, отслеживающие фишинговую активность, сообщают о постоянном росте попыток проникновения через электронную почту, нацеленных как на предприятия, так и на государственные структуры. Злоумышленники часто маскируются под финансовые учреждения, логистические компании или внутренние отделы, создавая сообщения с ощущением срочности. Встраивая пути WebDAV в гиперссылки или замаскированные кнопки, они инициируют соединения, которые выглядят как обычные для конечного пользователя.

Эксперты предупреждают, что хотя некоторые платформы обнаружения угроз могут выявлять аномальные сетевые соединения или подозрительные дочерние процессы File Explorer, такие случаи не являются универсальными. Системы, сильно полагающиеся на браузерную проверку или фильтрацию через шлюзы, могут пропустить активность, инициированную через встроенные протоколы ОС.

Смотрите также: AI Google Gemini берёт под контроль задачи Android

Появление этой кампании совпадает с усилением внимания к уязвимостям цепочек поставок и инструментам удалённого доступа. За последний год несколько громких взломов связаны с использованием злоумышленниками легитимных административных утилит для поддержания устойчивости. Аналитики отмечают, что техника WebDAV показывает, как устаревшие технологии, оставленные включёнными по умолчанию, могут быть использованы в современных сценариях атаки.

Рекомендуемые меры по снижению рисков включают отключение службы WebClient, если WebDAV не нужен, ограничение исходящих соединений с недоверенными серверами WebDAV и настройку систем мониторинга для выявления подозрительной активности, исходящей из File Explorer. Обучение пользователей также остаётся важной частью защиты, поскольку фишинговые письма — основной способ доставки вредоносных компонентов.

Microsoft не объявляла о наличии конкретных уязвимостей, связанных с WebDAV в данном контексте, поскольку злоупотребление основано на легитимной функциональности, а не на ошибках в коде. Тем не менее, администраторам предприятий рекомендуется проверять настройки системы и применять принцип минимальных привилегий для снижения риска.

Обнаружили проблему? The Arabian Post стремится предоставлять максимально точную и надёжную информацию. Если вы считаете, что обнаружили ошибку или несоответствие в этой статье, пожалуйста, свяжитесь с нашей редакцией по адресу editor[at]thearabianpost[dot]com. Мы обязуемся оперативно рассмотреть любые обращения и поддерживать высокий уровень журналистской честности.