«По нашим наблюдениям, в 9 из 10 банкоматов установлены устаревшие и уязвимые версии Windows (XP или 7), для которых создано множество общедоступных эксплойтов, — отмечает специалист отдела анализа защищенности Positive Technologies Артем Ивачев. — Поэтому крайне важен контроль разрешенных приложений, а способы обхода белого списка софта представляют большую опасность. Для запуска нелегитимного ПО злоумышленник может использовать недостатки защиты сервисной зоны банкомата и доступ к USB или CD-ROM. Затем с помощью подходящего вредоносного ПО атакующий может получить права администратора на компьютере банкомата и загрузить специализированное ПО, такое как Alice, GreenDispenser, Padpin (Tyupkin), Ripper, позволяющее похищать наличные». 

Обойти список авторизованных приложений позволяют три уязвимости. Так, ошибка CVE-2018-13014 дает возможность получить пароль, который ограничивает доступ к настройкам конфигурации. В результате атакующий может свободно менять настройки конфигурации продуктов SoftControl, например полностью отключить защиту на локальном компьютере. 

Вторая уязвимость, CVE-2018-13013, связана с неправильной проверкой запуска msiexec.exe. Локальный злоумышленник может создать конфигурацию, в которой компонент SysWatch не осуществляет проверку сигнатур установочных файлов с расширением .msi, запустить произвольный MSI-файл и выполнить неавторизованный код. 

Третья уязвимость (CVE-2018-13012) вызвана особенностями процесса обновления продуктов SoftControl. Обновления каждой версии имеют файл конфигурации lastversion42.xml и набор файлов обновлений. Из-за ошибки проверки целостности файла lastversion42.xml злоумышленник может выполнить атаку «человек посередине» и заменить файлы обновления. Для эксплуатации уязвимости атакующему нужен доступ в настройки SysWatch, который может дать уязвимость раскрытия пароля CVE-2018-13014. 

Для устранения уязвимости CVE-2018-13014 необходимо обновить используемые продукты линейки SoftControl до версии 4.3.17 или выше. Также следует обновить все клиенты SysWatch, чтобы переключить компонент «Сервисный центр» в новый режим управления паролями (если клиенты SysWatch управляются с помощью компонента «Сервисный центр»). Уязвимости CVE-2018-13013 и CVE-2018-13012 устранены в продуктах SoftControl версий 4.4.12 и выше. 

«Выявление и своевременное устранение уязвимостей — важный элемент жизненного цикла ПО, — говорит технический директор компании ООО «Протекшен Технолоджи», владеющей брендом SafenSoft, Александр Зацепин. — Сотрудничество с экспертами в области анализа защищенности программных продуктов позволяет достигать качественно лучших результатов. Мы благодарим коллег из компании Positive Technologies и Артема Ивачева лично за внимание, уделенное продуктам нашей компании, и профессиональный подход в ходе сотрудничества». 

По данным Европейской ассоциации безопасных транзакций (EAST), в 2017 году было 192 атаки на банкоматы с применением ВПО, официальный ущерб от которых составил 1,52 млн евро. Согласно исследованию Positive Technologies, ВПО для банкоматов относится к самому дорогому классу готового ВПО на черном рынке, цены на него начинаются от 1500 $, что обусловлено как сложностью разработки, так и высокой привлекательностью атак на банкоматы для злоумышленников. При этом по сравнению с 2016 годом количество инцидентов выросло на 231%, а общий ущерб на 230%.