Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Динамическая загрузка библиотек в Windows может привести к серьезным проблемам с безопасностью.

Microsoft знала, по крайней мере, с февраля, что десятки приложений для Windows, включая собственные разработки, подвержены уязвимостям, которые злоумышленники могут использовать, чтобы получить контроль над компьютерами, заявляет исследователь.

По меньшей мере, 19 из них можно реализовать удаленно, заявил Тайхо Квон (Taeho Kwon), исследователь из Университета Калифорнии. Еще в феврале он опубликовал информацию о них, а в прошлом месяце представил их на международной конференции.

Исследование Квона вторит растущему числу исследователей, заявляющих о том, что многие Windows-приложения уязвимы к атакам из-за используемого способа загрузки компонентов.

На прошлой неделе американский исследователь Эйчди Мур (HD Moore) заявил, что он обнаружил, как минимум, 40 уязвимых приложений, включая оболочку Windows. Вслед за ним словенская секьюрити-компания Acros анонсировала собственную утилиту, позволившую обнаружить свыше 200 уязвимых Windows-приложений.

По информации Мура, Acros, а теперь и Квона, многие Windows-приложения могут быть взломаны, если атакующему удастся привлечь пользователя на вредоносный сайт. Причиной тому — способ загрузки библиотек DLL. Если хакерам удастся разместить вредоносное ПО в папке приложения под видом DLL, приложение будет искать библиотеки, а это значит, что у хакеров появится реальная возможность взломать компьютер.

В исследовании, представленном в прошлом месяце на конференции ISSTA (абб. от International Symposium on Software Testing and Analysis), Квон заявляет, что он передал информацию о своих находках в Microsoft Security Response Center (MSRC). В документе приводится информация о 28 приложениях, которые в общем счете содержат более 1700 отдельных ошибок.

Он также разработал утилиту, позволяющую обнаруживать небезопасные загрузки .dll, и впоследствии проверил несколько популярных приложений. В отличие от Acros, Квон обнародовал приложения, которым не удалось пройти тест.

По словам Квона, уязвимости подвержены все основные приложения пакета Microsoft Office 2007, Internet Explorer 8, Firefox, Chrome, Opera и Safari; PDF-просмотрщики, включая Adobe Reader и Foxit; IM-клиенты Windows Live Messenger, Skype и Yahoo Messenger; мультимедиа-проигрыватели QuickTime, Windows Media Player и Winamp.

Во многих случаях были выпущены обновленные версии продуктов, в которых, вероятно, данная проблема была решена. Так, к примеру, Квон тестировал Mozilla Firefox 3.0, который впоследствии был замещен Firefox 3.5 и Firefox 3.6.

«Проблема небезопасной динамической загрузки далеко не нова, но до последнего момента ей не придавали большого значения, поскольку для ее реализации требовался локальный доступ к системе жертвы» — пишет Квон. «Однако, в связи с появлением способа удаленной атаки проблема приобрела более серьезное значение.»

Вообще разговор о подобном типе уязвимости зашел еще десять лет назад. Инициировал его исследователь Георгий Гунинский (Georgi Guninski). Однако, до последнего момента Microsoft не предпринимала никаких активных действий по борьбе с проблемой.

В апреле 2009 года Microsoft выпустила обновление MS09-015, призванное укрепить защиту Windows против такого рода атак. Но, по словам израильского исследователя Авива Раффа (Aviv Raff), уже было поздно.

«Microsoft упорно не хотела устранять уязвимость в Windows до тех пор, пока я не обнаружил способ автоматической реализации уязвимости в Internet Explorer через Safari» — сообщил нам Рафф. «По их словам, было крайне проблематично устранить первопричину уязвимости, поскольку это нарушило бы работу массы сторонних приложений. Но со временем уязвимость в IE была устранена, а ОС была обновлена путем изменения порядка поиска загружаемых .dll.»

Рафф впервые написал об уязвимости в IE в далеком 2006 году, повторив свои предупреждения в 2008 году, когда исследователь обнародовал уязвимость в Apple Safari, которая могла быть использована для атаки на Win-компьютеры с зараженными ярлыками.

Квон отказался прокомментировать возможные способы решения проблемы. Другие исследователи сошлись во мнении, что устранить уязвимость будет крайне сложно или невозможно, не нарушив работу громадного количества сторонних приложений. Тем не менее, считает Квон, проблему как-то нужно решать.

«Наши результаты показали, что небезопасная загрузка DLL широко распространена, поэтому атаки с использованием данной техники могут привести к серьезным угрозам безопасности» — заявляет Квон. «Для справки: мы обнаружили более 1700 небезопасных загрузок компонентов с привилегиями администратора и 19 уязвимостей, которые с легкостью приводят к удаленному выполнению кода.»

На текущий момент Microsoft признала, что изучает информацию, предоставленную Муром, однако не сказала, планируется ли выпуск патча, а если планируется, то когда. На наш взгляд, это следует сделать как можно быстрей, поскольку в понедельник Мур пообещал выпустить утилиту, проверяющую локальную систему на наличие уязвимостей и генерирующую PoC-код (абб. от proof-of-concept).

Всем удачи!

09.09.2010 Posted by | заметки | Комментарии к записи Динамическая загрузка библиотек в Windows может привести к серьезным проблемам с безопасностью. отключены