8 мая 2014

Уязвимость нулевого дня в IE и Windows XP: непростое решение Microsoft

Бизнес

Microsoft пришлось разбираться с очередной пренеприятной уязвимостью в браузере Internet Explorer, которая затронула все его версии, начиная с IE6, во всех операционных системах, включая недавно «отбракованную» Windows XP. Microsoft стояла перед трудным выбором. И она его сделала.

Как известно, 8 апреля 2014 эра Windows XP «официально» закончилась: эту ОС больше не поддерживает корпорация Microsoft. Незадолго до этой даты многие предсказывали катастрофу, и, честно говоря, по крайней мере, кое-какие основания для опасений были. Несмотря на прекращение поддержки Windows XP корпорацией Microsoft, миллионы людей по-прежнему пользуются ей, а это означает, что авторы вредоносного ПО и хакеры будут упорно искать в этой ОС новые ошибки и уязвимости, которые можно эксплуатировать. Без технической поддержки Microsoft не будет никаких новых патчей для этих багов, так что они могут использоваться бесконечно. И в этом кроется реальная угроза для всех, а не только для приверженцев Windows XP.

Теперь уже ясно, что те, кто предрекал грядущую катастрофу, были правы. Совсем не много времени ушло на выявление новой уязвимости в Windows XP: она присутствует практически во всех имеющихся версиях Internet Explorer.

800

26 апреля 2014 года Microsoft уведомила своих клиентов об уязвимости в Internet Explorer с эксплойтом нулевого дня, который уже использовался в «ограниченном количестве таргетированных атак». По-видимому, FireEye обнаружила эти атаки первой.

По данным FireEye, целями первой атаки были пользователи IE версий 9, 10 и 11 на Windows 7 и 8, хотя уязвимость фактически затронула все версии IE — от 6 до 11. Действительно мало времени прошло, прежде чем обнаружили новую версию эксплойта, на этот раз нацеленного на машины под Windows XP и с Internet Explorer 8.

Технической информации о самой уязвимости уже собрано немало. Короче говоря, пользователя убеждают открыть специально созданный HTML-документ, в результате чего злоумышленники получают возможность исполнять произвольный код в его системе. Согласно описанию CERT, «уязвимость в Internet Explorer используется для искажения Flash-контента таким образом, что позволяет обойти ASLR посредством утечки адреса памяти. Это стало возможным в Internet Explorer, так как Flash использует то же рабочее пространство, что и браузер». CERT также признает возможность эксплуатации уязвимости без использования Flash притом, что отключение Flash-плагина в IE является одним из способов решения проблемы.

Другими словами, довольно неприятная ситуация. Министерство внутренней безопасности США даже рекомендовало не использовать Internet Explorer до выхода патча.

Microsoft попала в затруднительное положение в связи с этим. Компания оказалась перед трудным выбором: придерживаться своего ранее принятого решения о прекращении поддержки Windows XP и предложить оставшимся пользователям (миллионам) справляться самостоятельно и, наконец, решиться на апгрейд, или прийти им на помощь в качестве чрезвычайной меры.

Microsoft пришлось выбирать: придерживаться своего решения о прекращении поддержки Windows XP или сделать исключение.

В любом случае компанию подвергли бы резкой критике либо за миллионы пользователей, оставленных на произвол судьбы, либо за потворство тем людям, которые не делают ничего для собственной защиты.

Microsoft выбрала последнее и «в виде исключения» ликвидировала уязвимость во всех подверженных версиях Internet Explorer, выпустив также обновления для всех версий под Windows XP.

Как и следовало ожидать, за это компании устроили разнос. «Решение выпустить этот патч является ошибочным», — написали в Ars Technica, заявив, что такие разовые «исключения» не делают Internet Explorer под Windows XP хоть сколько-нибудь безопаснее. Наоборот, создается ложное впечатление о том, будто продолжать пользоваться Windows XP вполне нормально. ИТ-специалисты, понимавшие необходимость миграции (и выбивавшие бюджет на это), неустанно убеждали своих начальников, что Microsoft не станет выпускать какие-либо патчей после 8 апреля. И сейчас они тоже оказались в затруднительном положении, потому что, с точки зрения владельца бизнеса, если было одно «исключение», то почему бы не быть и другому. И третьему. А почему бы Microsoft просто не продлить поддержку Windows XP до бесконечности?

Microsoft решила помочь и пользователям Windows XP, и ей за это досталось.

«Задача миграции с Windows XP просто стала гораздо труднее», — написали в Ars Technica. И не зря.

Ситуация действительно дает пищу для размышлений. Windows XP была с нами слишком долго и из-за этого слишком много всего пошло не так. Microsoft после многих лет приготовлений, предупреждений и увещеваний, наконец, прекратила поддержку Windows XP — и почти сразу выпустила новый патч. Вместе с извиняющего толка объяснениями:

«Несмотря на то, Windows XP больше не поддерживается корпорацией Microsoft, и срок выпуска обновлений безопасности вышел, сегодня мы решили выпустить обновления для всех версий ОС Windows XP (в том числе встроенной). Мы сделали это исключение из-за недавнего окончания поддержки Windows XP. В действительности было совсем мало атак с использованием конкретно этой уязвимости, и проблема была, откровенно говоря, преувеличена. К сожалению, это примета нашего времени, и это не означает, что мы не принимаем сведения о подобных инцидентах всерьез. Совсем наоборот», — заявила Адрианна Холл, руководитель направления защиты информационных систем Microsoft.

800_2

Может быть, нам стоит поблагодарить Microsoft за заботу, а может, опять же, и нет. Microsoft продолжает трубить о необходимости отказаться от Windows XP по соображениям безопасности, но при этом поступает так, будто торопиться некуда.

Что же касается данной уязвимости в IE и ее эксплойтов нулевого дня, в продуктах «Лаборатории Касперского» имеется масса надежных защитных средств, которые были разработаны специально, для того чтобы блокировать даже неизвестные угрозы, такие как эксплойты нулевого дня. Automatic Exploit Prevention — одна из таких технологий. Теперь мы можем подтвердить, что недавно обнаруженные эксплойты для этой уязвимости в IE были успешно обнаружены и блокированы нашими решениями, поэтому наши клиенты в безопасности.

Мы прекрасно понимаем, что полный уход Windows XP с рынка растянется во времени. Чем скорее это произойдет, тем лучше, так как миграция с Windows XP является необходимой мерой безопасности. Тем не менее, мы продолжим поддержку Windows XP в наших продуктах до 2016 года.