Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронновычислительных систем (КИБЭВС)
ФОРМАЛИЗОВАННЫЙ СЦЕНАРИЙ АТАКИ В НОТАЦИИ MAL Отчет по практической работе
по дисциплине «Защита информации в компьютерных сетях»
Студент гр. 7x3-x
___________ xxxxxxxxxxx
___________
Принял Преподаватель кафедры КИБЭВС
______ ___________ А. Д. Калякин
___________
Томск 2026
Введение
Целью данной работы является подготовка формализированного сценария атаки в нотации языка MAL (Metta Attack Language) по варианту
«SQL».
Задание на практическую работу:
1.Составить легенду, которая будет использоваться для сценария атаки;
2.Создать топологию сети, в рамках которой будет происходить атака;
3.Разработать формализованный сценарий атаки на систему в нотации языка MAL.
2
1 ЛЕГЕНДА ДЛЯ СЦЕНАРИЯ АТАКИ
В организации существует два отдела, разделенных на разные сегменты подсети. Один из сегментов имеет прямой доступ к серверу с системой управления базами данных, на котором хранятся персональные данные о сотрудниках и клиентах организации, а также различные файлы, используемые в работе сотрудниками, и к серверу с установленным программным обеспечением для администрирования конечных узлов подсети.
Сервер с системой управления базами данных функционирует на базе операционной системы Windows Server 2022 и использует в качестве СУБД
Microsoft SQL Server 2022 версии 16.0.4003.1.
Сервер, используемый для администрирования конечных узлов подсети, функционирует на базе операционной системы Windows Server 2022 и использует программное обеспечение Fortinet FortiClient Enterprise Management Server версии 7.4.4.
Клиентские машины функционируют на базе операционной системы
Windows 11 Pro.
3
2 ТОПОЛОГИЯ СЕТИ
На рисунке 2.1 представлена рассматриваемая топология сети. Внешняя сеть представлена Интернетом, через который пользователи получают доступ к корпоративным сервисам. На границе подсети установлен роутер для обеспечения доступа во внешнюю сеть из локальной подсети организации.
Для обеспечения безопасности сетевого взаимодействия на границе сети также установлен фаерволл, выполняющий функции фильтрации сетевого трафика, ограничения несанкционированного доступа и защиты внутренних ресурсов организации.
За фаерволлом расположены два коммутатора, которые обеспечивают распределение сетевого трафика между внутренними узлами локальной сети.
К первому коммутатору подключены только три клиентских машины, которые могут взаимодействовать с другим сегментом подсети, проходя через фаерволл. Ко второму коммутатору помимо клиентских машин сотрудников также подключены сервер с системой управления базами данных и сервер с установленным программным обеспечением для администрирования конечных узлов подсети. Подсеть имеет номер 192.168.10.0, номер узла 1 используется роутером для настройки сети, номера узлов 10 и 11 заняты серверами, начиная с номера 12, находятся адреса клиентских машин в локальной сети.
Злоумышленник, находясь в сети Интернет, использует скомпрометированные учётные данные, полученные в результате утечки базы данных, и проводит атаку удалённо.
4
Рисунок 2.1 Топология сети
5
3 СЦЕНАРИЙ РЕАЛИЗАЦИИ АТАКИ
Исходя из описанной легенды и топологии сети, злоумышленник имеет как минимум два варианта сценария реализации атаки: используя уязвимости
Microsoft SQL Server и Fortinet FortiClient Enterprise Management Server.
В первом варианте сценария используются уязвимости CVE-2025- 49759 и CVE-2025-49717, каждая представляет собой один из этапов атаки.
Уязвимость CVE-2025-49759 позволяет злоумышленнику с помощью SQL инъекции, использующей некорректную нейтрализацию спецсимволов, повысить собственные привилегии в подсети. Для реализации этой уязвимости достаточно иметь прямой доступ к порту 1433, который используется Microsoft SQL Server для взаимодействия с приложениями и клиентами, и аутентифицированный доступ к СУБД с низкими правами (т. е. скомпрометированные данные сотрудника с низкими правами доступа к СУБД).
Уязвимость CVE-2025-49717 позволяет выполнить произвольный удаленный код в системе с помощью переполнения буфера в куче. Обе уязвимости содержатся в версии, установленной на сервере с СУБД.
На рисунке 3.1 представлен первый этап атаки на Microsoft SQL Server с компьютера злоумышленника с целью повышения привилегий пользователя в системе. В качестве меры защиты было выпущено обновление с версией
16.0.4210.1.
Рисунок 3.1 – Первый этап атаки с использованием уязвимости CVE-2025-
49759
6
На рисунке 3.2 представлен второй этап атаки, производимый с скомпрометированного сервера с СУБД, по клиентам в подсети. После определения версии Microsoft SQL Server злоумышленник выделяет блоки памяти и заполняет их шаблонными данными до нужного адреса с вредоносным кодом, а адреса возврата в других блоках изменяются на адрес с вредоносным участком памяти. Так как клиенты подсети так или иначе взаимодействуют с файлами, находящимися на сервере с СУБД, то под угрозой находятся все клиентские машины подсети. В качестве меры защиты было выпущено обновление с версией 16.0.4200.1.
Рисунок 3.2 – Второй этап атаки с использованием уязвимости CVE-2025-
49717
Во втором варианте злоумышленник может реализовать атаку с помощью уязвимости CVE-2026-21643, которая позволяет с помощью специально сформированных HTTP-запросов с SQL инъекцией к серверу
Fortinet FortiClient Enterprise Management Server выполнять произвольные команды. Для реализации атаки достаточно иметь прямой доступ к порту 443, который используется Fortinet для защищенного HTTPS-трафика, административного доступа и коммуникации с сервисами FortiGuard. В отличие от первого варианта атаки уязвимость CVE-2026-21643 позволяет нарушителю выполнять произвольные команды без аутентификации.
После внедрения SQL инъекции злоумышленник создает бэкдор для закрепления в локальной сети, чтобы впоследствии использовать его для распространения винлокера не только на клиентские машины, но и на сервер с СУБД. В качестве меры защиты было выпущено обновление с версией
7
7.4.5. На рисунке 3.3 представлен вариант атаки на Fortinet FortiClient Enterprise Management Server.
Рисунок 3.3 – Атака с использованием уязвимости CVE-2026-21643
8
Заключение
В ходе выполнения практической работы были получены навыки разработки формализованных сценариев атак с использованием нотации языка MAL.
9
