На хакерской конференции Black Hat Europe, прошедшей с 14 по 16 марта, Алексей Синцов, руководитель департамента аудита ИБ Digital Security и эксперт исследовательской лаборатории DSecRG, поделился своим опытом проведения тестов на проникновение и представил результаты недавно проведенного исследования защищенности системы Lotus Domino.

В частности, Алексей Синцов продемонстрировал, как за короткое время можно разобрать приватную уязвимость в Lotus Domino и использовать полученный эксплойт, а также обойти существующий патч и найти критичную уязвимость нулевого дня. Результатом стала атака на сервис Domino Controller (сервис администрирования Lotus Domino), которая позволяет полностью скомпрометировать сервер, говорится в сообщении компании Digital Security.

Также были продемонстрированы доступные в интернете серверы, которые можно атаковать в любой момент, несмотря на то что для данной уязвимости доступен патч. По мнению Digital Security, демонстрация наглядно проиллюстрировала общепринятое отношение к безопасности, особенно с учетом того, что среди незащищенных серверов также оказались серверы правительственного сектора.

Как показывает опыт DSecRG (Digital Security Research Group), исследовательской лаборатории Digital Security, своевременная установка патча, выпущенного производителем, не всегда обеспечивает защиту, поскольку исправления уязвимостей зачастую некорректны. Так, за 2011 г. три критических патча от таких крупнейших производителей, как SAP, IBM и VMware, фактически не исправили или не полностью исправили обнаруженные лабораторией DSecRG уязвимости в их продуктах. Как результат, потенциальные злоумышленники могут по-прежнему эксплуатировать уязвимости, заключили в Digital Security.