На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.



После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодателя, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.



Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Мировой ландшафт угроз становится насыщеннее и активнее с каждым годом, каждый день появляется множество модификаций различных существующих вредоносных программ, а также новые вредоносные программы и иные инструменты, используемые атакующими. Ушедший год только закрепил основной тренд разделения вредоносных программ или их использование на два вида: используемые злоумышленниками для извлечения личной материальной выгоды и используемые атакующими для направленных атак, watering hole с целью компрометации определенной компании, отрасли индустрии или региона земного шара.



Несмотря на то, что Remote Code Execution уязвимости в популярном ПО (браузерах) играют существенную роль для удаленной доставки вредоносного контента, в котором заинтересованы атакующие (основной тренд drive-by), они часто прибегают к гораздо более простым методам установки вредоносных объектов в систему используя человеческий фактор. Использование двойных расширений у файлов, убедительное фишинговое сообщение, нацеленность на определенных людей (с учетом проведенной разведки), поддельные иконки файлов, документы с убедительным содержанием, все это составляет арсенал атакующих, которые заинтересованы в установке вредоносного кода в систему предполагаемой жертвы.

Несколько недель назад стало известно о масштабной компрометации клиентов американской ритейлерной корпорации Target. Злоумышленникам удалось установить вредоносный код на компьютеры, которые связаны с терминалами оплаты (POS, Point Of Sale) покупок с использованием кредитных карт. В результате хорошо спланированной злоумышленниками операции по внедрению и эксплуатации вредоносного кода, конфиденциальные данные кредитных карт более 50 млн. пользователей оказались скомпрометированы. Кроме этого, чуть позже появилась информация, что атакующие получили доступ и к такой конфиденциальной информации клиентов и сотрудников Target как адреса электронной почты и телефонные номера.



Для кражи данных кредитных карт использовались инструменты, которые популярны у кардеров, например memory-grabber, для извлечения информации из памяти нужного процесса при выполнении транзакции. Одним из первых, кто предоставил подробную информацию о новом вредоносном коде, была компания iSight. Новый вредоносный код получил название Trojan.POSRAM (iSight). Антивирусные продукты ESET обнаруживают его как Win32/Spy.POSCardStealer.R, Win32/Spy.POSCardStealer.S, Win32/Spy.POSCardStealer.T (Symantec: Infostealer.Reedum.B, Microsoft: Trojan:Win32/Ploscato.A). Этот вредоносный код был написан специально для компрометации POS, но атакующие использовали и другие инструменты, известные как greyware или HackTool для проведения тех или иных операций (среди них был и вполне легитимный инструмент Sysinternals PsExec, снабженный действительной цифровой подписью). Это свидетельствует о том, что они имели удаленный доступ к скомпрометированным компьютерам (backdoor).

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 6 уникальных уязвимостей (4 исправления со статусом Important). Это первый patch tuesday в этом году и мы называем его «light patch tuesday», поскольку он не содержит ни одного критического обновления и ни одного обновления для браузера Internet Explorer. Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Исправления ориентированы на операционную систему, Office и ПО Microsoft Dynamics AX. Для применения обновлений нужна перезагрузка.



Обновление MS14-002 закрывает известную с прошлого года (SA 2914486) LPE уязвимость CVE-2013-5065 в версии драйвера ndproxy.sys, который поставляется в составе Windows XP и Windows Server 2003. Атакующие использовали специальным образом сформированный запрос к драйверу через интерфейс IOCTL для исполнения своего кода в режиме ядра (user-mode restrictions escape). Для доставки этого эксплойта использовался специальный PDF-документ, который эксплуатирует уязвимость в устаревшей версии Adobe Reader и используется для преодоления ограничений sandboxing (Adobe Reader sandbox bypass). Вредоносный документ с эксплойтом обнаруживается ESET как PDF/Exploit.CVE-2013-5065.A.

В предыдущем посте, посвященном вымогателям (ransomware), мы указывали на активизацию семейства FileCoder, которое используется злоумышленниками для шифрования файлов пользователя с последующим требованием выкупа за расшифровку. Уже с июля 2013 года злоумышленники удвоили свои усилия по распространению этого вида вредоносного ПО. Кроме этого, за этот период времени было зафиксировано появление новой модификации Win32/Filecoder.BQ, которая больше известна как Cryptolocker и представляет из себя наиболее опасный вариант шифровальщика. При заражении Cryptolocker пользователь либо теряет свои данные, либо вынужден платить злоумышленникам за расшифровку.



Как видно на статистике ниже, наиболее всего Cryptolocker активен в США. Очевидно, что этот регион является наиболее привлекательным для злоумышленников в силу достаточной состоятельности пользователей. Злоумышленникам проще таким образом получить прибыль, ведь многие пользователи готовы заплатить требуемую сумму только чтобы вернуть себе доступ к оригинальным файлам. Не только Cryptolocker, но и такие известные банковские вредоносные инструменты как Zeus или SpyEye также в свое время ориентировались в первую очередь на США из-за наибольшей монетизации.

Недавно мы обнаружили новое банковское вредоносное ПО, которое было добавлено в наши базы как Win32/Qadars. Первое публичное освещение этой угрозы было выполнено компанией LEXSI. Qadars был довольно активен в последнее время, заражая пользователей по всему миру. Как и другое банковское вредоносное ПО, он осуществляет кражу данных онлайн-банкинга и средств пользователя через механизм веб-инъекций (web injection). Наши исследователи обнаружили, что Qadars использует большой спектр таких веб-инъекций для различных задач по работе с системой онлайн-банкинга.



Ранее мы писали про банковский троян Hesperbot, который содержит специальный компонент для мобильных платформ. Этот компонент позволяет обходить механизм двухфакторной аутентификации на основе кодов подтверждения проводимой банковской операции mTAN. Qadars использует схожий с Hesperbot подход по установке мобильного компонента через веб-инъекцию на странице онлайн-банкинга специального сообщения. Разница между ними заключается в том, что Qadars использует уже существующий мобильный вредоносный код Android/Perkele, а не опирается на свой собственный.

Мы уже неоднократно упоминали ASLR, по справедливому замечанию MS, эта технология позволяет сделать разработку эксплойтов гораздо более дорогостоящим мероприятием, поскольку кроме эксплуатации самой уязвимости в ПО злоумышленнику нужно опереться на те или иные предсказуемые адреса в памяти в момент эксплуатации, которых ASLR его лишает. Как мы видим, в последнее время, в том числе, и с выпуском новейших Windows 8/8.1 MS решили более серьезно подойти к развертыванию данной особенности в системе. Если в узком смысле ASLR понимается как просто перемещение образа по непредсказуемым адресам с каждой перезагрузкой, то в более общем смысле эта возможность на уровне системы должна лишить атакующих любой возможности зацепится за те или иные адреса функций системных библиотек и иных системных объектов (ASLR bypass mitigation / Address Space Information Disclosure Hardening) в тех нескольких десятках байт шелл-кода, который может быть исполнен минуя DEP (ROP).

Мы не будем касаться истории ASLR, которая известна уже почти всем, отметим лишь некоторые не совсем очевидные возможности, которые Microsoft использует для улучшения ASLR в своих флагманских ОС Windows 7-8-8.1.

В сентябре мы сообщали о новом банковском трояне, который называется Hesperbot (обнаруживается как Win32/Spy.Hesperbot). Киберпреступники, использующие этот инструмент, по-прежнему активны, в ноябре были зафиксированы новые случаи использования этого вредоносного ПО.

Мы уже показывали, что географическое распределение заражений этой вредоносной программы достаточно локализовано в нескольких конкретных странах. Для заражений пользователей использовались спам-кампании с фишинговыми сообщениями на родном для пользователей этих стран языке. Как и ожидалось, злоумышленникам не понадобилось много времени на то, чтобы начать ориентироваться на новые страны. В дополнение к тем четырем, которые мы уже указывали (Турция, Чехия, Португалия, Великобритания), в прошедшем месяце были зафиксированы новые версии вредоносного кода для пользователей Германии и Австралии.

За прошлый месяц были зафиксированы крупные случаи заражений в Чехии, также злоумышленники добавили скрипты веб-инъекций (web injection) в файлы конфигураций для чешского ботнета. Ниже на диаграмме показано распределение заражений Hesperbot по странам, которое мы зафиксировали в ноябре с помощью ESET LiveGrid.

Компания выпустила серию обновлений для своих продуктов, которые закрывают 24 уникальных уязвимостей (6 исправлений со статусом Critical и 5 со статусом Important). Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Это последний patch tuesday в этом году, в рамках него MS исправляет уязвимости для таких продуктов как Internet Explorer, Windows, Office, Exchange и др., причем на исправление продуктов Office нацелено сразу три обновления.



Обновление MS13-096 закрывает эксплуатируемую in-the-wild уязвимость в Office CVE-2013-3906 (Win32/Exploit.CVE-2013-3906.A). Мы более подробно писали о ней здесь. Злоумышленники использовали специальным образом сформированный .doc файлы для установки в систему вредоносного кода через эксплойт. Уязвимость существует в коде обработки встроенного в документ специального изображения (TIFF codec). MS Word использует этот компонент для открытия встроенных в документ других объектов, в этом случае TIFF-изображения. Обновлению подлежат Windows Vista и Server 2008, а также Office 2003-2007-2010. Для применения обновления нужна перезагрузка.

Компания заручившись поддержкой ФБР и Europol начала операцию по выведению из строя одного из самых крупных на сегодняшний день ботнетов, который приносил злоумышленникам большие деньги. Вредоносным кодом ZeroAccess (aka ZAccess, Sirefef) скомпрометировано более 2 млн. компьютеров и он используется злоумышленниками для выполнения различных мошеннических операций и извлечения материальной выгоды, один из самых известных компонентов — кликер, который позволяет генерировать переходы по рекламным ссылкам на компьютерах ничего не подозревающих пользователей (с предполагаемой ежемесячной прибылью киберпреступников $2,7 млн).



Про одну из последних модификаций этой вредоносной программы мы писали в блоге. Современная версия ZAccess использует скрытное заражение системного файла services.exe (aka SCM). Причем вредоносный код имеет в своем арсенале и компоненты для 64-битной версии Windows. Подобный способ обеспечения своего выживания является достаточно эффективным, при этом нужно отметить, что авторы этого вредоносного ПО подходили к его разработке весьма серьезно, так предыдущие версии содержали специальный сложно обнаруживаемый руткит, который глубоко скрывал компоненты вредоносной программы. В прошлом году стало очевидно, что злоумышленники переключились на разработку обновленной версии, которая использует модификацию services.exe. Очевидно это связано с все большим доминированием 64-битных ОС и невозможностью применения 32-битных руткит-технологий на этих ОС ввиду очевидных ограничений.

Недавно мы проанализировали четыре вредоносных инструмента, которые использовались в направленных атаках на пользователей Тайваня и Вьетнама. С использованием нашей системы телеметрии мы зафиксировали, что это вредоносное ПО доставлялось пользователям через кампании по распространению фишинговых сообщений. Один из файлов вредоносной программы был доставлен в систему пользователя через почтовый веб-интерфейс вьетнамского государственного учреждения. Злоумышленники использовали специальные фишинговые почтовые сообщений, которые содержали убедительный текст, а также специальные фальшивые документов для заманивания пользователя и усиления эффекта атаки.



По результатам этого исследования нам удалось установить следующие факты:

• Один и тот же компонент вредоносного кода несколько раз использовался в этих кампаниях.
• Атаки требовали ручного вмешательства злоумышленника (оператор).
• В атаках обнаружены следы известной группы APT1 (aka Comment crew).
• Для первоначального вектора атаки, т. е. для установки вредоносного кода, использовались фишинговые сообщения, которые якобы содержали важные документы.
• Плохая подготовка злоумышленников: опечатки в конфигурации, наивная реализация криптографических алгоритмов, недостаточная практика в написании кода.
• Вредоносные программы с четко заданным поведением: одна из угроз не сохраняет свое присутствие после перезагрузки, а другая не делает никаких вредоносных функций до перезагрузки.

Не так давно в открытом доступе появилось письмо, которое некоторые известные участники AV/Security сообщества направили различным антивирусным компаниям с целью разъяснить свою позицию по обнаружению state-sponsored/government malware (т. н. кибероружие), а также прояснить слухи касаемо возможного сотрудничества таких компаний со спецслужбами разных государств для создания временного коридора по задержке обнаружения соответствующих вредоносных объектов.

Само письмо представлено здесь и просит дать разъяснение от компаний по следующим вопросам.

• Наблюдали ли вы активность вредоносного ПО, которое явно имеет state-sponsored происхождение без его фактического обнаружения, т. е. добавления в базы?
• Обращались ли к вам правительственные структуры с запросом на то, чтобы отсрочить (снять) обнаружение с того или иного вредоносного объекта? Если да, то не могли бы вы предоставить информацию о таком разрешенном к использованию ПО и на какой период времени откладывалось обнаружение?
• Как бы вы ответили на подобный запрос от правительственных структур в будущем?

На этой неделе стало известно, что злоумышленники используют незакрытую на текущий момент уязвимость CVE-2013-5065 типа elevation of privilege (EoP) в Microsoft Windows XP и Server 2003 при организации направленных атак для поднятия своих полномочий в системе. Уязвимость не относится к типу RCE (Remote Code Execution), а используется только для обхода ограничений user-mode на исполнение кода в системном адресном пространстве. Используя баг в драйвере NDProxy.sys, злоумышленники могут исполнить свой код в режиме ядра.



Сам шелл-код, который выполняет операцию эксплуатации уязвимой версии ndproxy, доставляется через вредоносный PDF-документ и используется совместно с применением уязвимости CVE-2013-3346 в Adobe Reader, Acrobat, которая позволяет обходить ограничения sandboxing в ридере и исполнить произвольный код (Adobe Reader sandbox bypass). CVE-2013-3346 была закрыта Adobe еще в августе этого года бюллетенем APSB13-15 и не грозит пользователям с обновленными версиями этих программ.

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).



Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.

Массивные атаки с целью установки вредоносного кода имеют большое негативное влияние на пользователей. Кроме этого, они показывают способность киберпреступников повторно использовать уже известные методы компрометации пользователей, которые будут действовать и в последующих случаях атак. Мы уже писали про массивную спам-атаку на пользователей Skype в мае этого года. Пользователи по всему миру получали сообщения от своих контактов через различные сервисы мгновенного обмена сообщениями Skype и Gtalk. Сообщения содержали вредоносные ссылки, которые приводили пользователя к установке нескольких видов вредоносного ПО, в т. ч. Win32/Rodpicom.C. За несколько часов было зафиксировано большое количество заражений пользователей этой вредоносной программой. Злоумышленники несколько раз прибегали к таким кампаниям и использовали различные языки при написании фишинговых сообщений для атак на пользователей разных стран, а также специальные методы заражения для усложнения их обнаружения.



В этом посте мы подробно рассмотрим каждый этап такой атаки, чтобы понять какими методами пользовались злоумышленники для преодоления возможностей безопасности системы. Разумеется, различные методы социальной инженерии для доставки вредоносного кода предоставляют этим атакам дополнительные возможности по усилению эффекта.

Ранее мы писали про некоторые механизмы затруднения эксплуатации (mitigation) для Windows и приложений, которые Microsoft пыталась привнести с выпуском новых ОС. Как правило подобные механизмы основываются на следующих концептуальных подходах:

• Разграничение прав доступа приложений к ресурсам ОС (User Account Control, Integrity Level). Vista+
• Особые смягчающие факторы при работе с памятью DEP&ASLR. XP SP2/Vista+. DEP задается системными настройками и в Windows 8+ активен для всех приложений (поддержка процессора). ASLR работает для приложений, скомпилированных с его поддержкой.
• Kernel ASLR/DEP, для компонентов, которые работают в режиме ядра. Vista SP1+. ASLR/DEP активен по умолчанию для модулей режима ядра, DEP от исполнения данных в пуле требует выделений из NonPagedPoolNx (Windows 8+).
• Защита от перезаписи указателей на функции в SEH на уровне ОС (SEHOP). Vista SP1+. По умолчанию активен только для серверных выпусков.
• Бесплатный инструмент EMET (v 4.1 last update) для повышения иммунитета системы от действий эксплойтов. Для Windows XP+.
• Расширенная изоляция процессов AppContainer (aka sandboxing, расширенный Integrity Level). Windows 8+. Используется для Internet Explorer 10+ и всех приложений Modern UI aka Metro.
• Блокирование доступа к получению информации об адресах объектов ядра для недоверенных приложений (KASLR bypass mitigation). Windows 8.1.

Компания выпустила серию обновлений для своих продуктов, которые закрывают 19 уникальных уязвимостей (3 исправления со статусом Critical и 5 со статусом Important). Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. В рамках этого patch tuesday MS выпускает три Critical обновления и одно Important для новейших версий браузера и ОС Internet Explorer 11, Windows 8.1 / RT 8.1.



Обновление MS13-090 закрывает кросс-платформенную Remote Code Execution уязвимость во всех версиях Windows для компонента icardie.dll ActiveX (начиная c Windows XP SP3 и заканчивая Windows 8.1). Несколько дней назад компания FireEye сообщила о том, что злоумышленники использовали эксплойт c обходом DEP&ASLR [msvcrt.dll ROP] для браузера Internet Explorer версий 7-8-9 [Windows XP и Windows 7], через который в систему устанавливали вредоносный код (CVE-2013-3918) aka drive-by. Несмотря на то, что уязвимость присутствует во всех версиях ОС, пользователи, использующие последние версии браузера IE 10-11 на Windows 8 и 8.1, не подвержены эксплуатации, в т. ч. из-за механизмов смягчения, которые используются в этих ОС. Пользователи EMET также защищены от деструктивных действий этого эксплойта. Утром MS подтвердила закрытие этой уязвимости в рамках patch tuesday. Для применения исправлений нужна перезагрузка.

Ранее мы указывали, что компания Microsoft сообщила об эксплуатации незакрытой RCE уязвимости CVE-2013-3906 злоумышленниками посредством эксплойта, который используется для организации направленных атак и установки вредоносного кода на системы жертвы. Злоумышленники использовали уязвимость в подверженных эксплуатации версиях Microsoft Word (2003-2007-2010 [2010 на Windows XP]) через специальным образом сформированный .docx файл. Атака была направлена на системы, расположенные на Среднем Востоке и в Южной Азии. Вредоносный .docx файл доставлялся через электронную почту, а само электронное письмо содержало фишинговое сообщение, согласно которому пользователь должен был открыть .docx файл.



Сама уязвимость заключается в неправильной обработке кодом TIFF-изображений, которые могут быть вставлены в документ посредством ActiveX. Для обхода механизмов смягчений DEP&ASLR на Windows Vista и Server 2008 (новейшие версии ОС Windows 7+ не подвержены эксплуатации) эксплойт использует знакомые методы heap-spray для копирования своего кода по заданному адресу, используя при этом резервирование больших блоков памяти в куче и ROP для передачи туда управления минуя ограничения DEP для памяти, недоступной для исполнения. Отличие различных модификаций эксплойтов, используемых в атаке в том, что для heap-spray использовалась сама среда ActiveX. Мы добавили этот эксплойт в свои базы как Win32/Exploit.CVE-2013-3906.A. Как и в случае других подобных уязвимостей, CVE-2013-3906 имеет тип memory-corruption, это свидетельствует о том, что начальный вектор исполнения ROP цепочки будет инициирован через передачу специального аргумента функции, которая приведет к переполнению блока памяти и началу исполнения ROP. Перед этим, сам шелл-код будет размещен в памяти через spray при использовании фреймворка ActiveX.

Специалисты компании сообщают, что злоумышленники активно эксплуатируют Remote Code Execution (RCE) уязвимость CVE-2013-3906 в ОС (Windows Vista SP2 и Windows Server 2008 SP2), Office (2003-2007-2010) и программе Microsoft Lync. Уязвимость связана с некорректной обработкой TIFF-файлов изображений различными компонентами ОС и продуктами компании. Через специальным образом сформированный TIFF-файл злоумышленник может спровоцировать удаленное исполнение кода. Файл может быть доставлен через e-mail сообщение или вредоносную веб-страницу. При открытии такого контента на уязвимой системе, атакующие могут установить вредоносный код в систему пользователя с получением прав текущей учетной записи.



Полный список уязвимого ПО доступен по ссылке.

Today we released Security Advisory 2896666 regarding an issue that affects customers using Microsoft Windows Vista and Windows Server 2008, Microsoft Office 2003 through 2010, and all supported versions of Microsoft Lync. We are aware of targeted attacks, largely in the Middle East and South Asia. The current versions of Microsoft Windows and Office are not affected by this issue. The exploit requires user interaction as the attack is disguised as an email requesting potential targets to open a specially crafted Word attachment.

Компания рекомендует воспользоваться следующими рекомендациями до выпуска секьюрити фикса.