Proof-of-concept эксплойт для Microsoft Dynamics ERP: контроль над ресурсами фирмы

image

На хакерской конференции Black Hat в Абу-Даби (6 декабря) компания SecureState представила Proof-of-concept эксплойт для Microsoft Dynamics Great Plains (GP) и исследование, посвящённое методам атаки и уязвимостям в популярных системах учёта, таких как Microsoft Dynamics ERP.

Программный пакет Microsoft Dynamics ERP обычно включает в себя пять программ:

  • Microsoft Dynamics AX
  • Microsoft Dynamics GP
  • Microsoft Dynamics NAV
  • Microsoft Dynamics SL
  • Microsoft Dynamics C5

Microsoft Dynamics ERP используется компаниями среднего размера или филиалами крупных корпораций для планирования ресурсов. ERP-система обеспечивает общую модель данных и процессов всех сфер деятельности компании, для организационной стратегии интеграции производства и операций, управления трудовыми ресурсами, финансового менеджмента и управления активами.

Исследование “Cash Is King: Who’s Wearing Your Crown? Accounting Systems Fraud in the Digital Age” (pdf) описывает несколько тем:

  • Поиск и препарирование бухгалтерских систем через интернет
  • Типичные примеры бухгалтерского мошенничества
  • Всесторонний обзор Microsoft Dynamics Great Plains (GP)
  • Уязвимости и векторы атаки Microsoft Dynamics GP
  • Атака БД и юзера
  • Конструирование «идеального» мошенничества с помощью самодельного зловреда
  • Методы защиты от подобных атак

Proof-of-concept эксплойт Project Mayhem: project_mayhem_v1.0.zip для заражения фронтенда Microsoft Dynamics GP включает в себя инсталлятор (Python), DLL и сервер (Python). Инсталлятор и DLL нужно скопировать на хост жертвы и запустить инсталлятор, которые внедрит DLL в процессы Microsoft Dynamics и сгенерирует там все необходимые книги. После этого DLL периодически связывается с хостом, указанным в server_dll/mayhem.h, для получения дальнейших инструкций.

Авторы эксплойта выкладывают его в открытый доступ с надеждой, что разработчики ПО сделают работу над ошибками.

Подробнее: http://www.xakep.ru/post/59781/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Proof-of-concept эксплойт для Microsoft Dynamics ERP: контроль над ресурсами фирмы | | 2012-12-10 11:59:29 | | Статьи об Интернет безопасности | | На хакерской конференции Black Hat в Абу-Даби (6 декабря) компания SecureState представила Proof-of-concept эксплойт для Microsoft Dynamics Great Plains (GP) и исследование, посвящённое методам атаки | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: