19 ноября 2013

Эксплойты нулевого дня для Microsoft Windows и Word: почему это критично

Бизнес

Корпорация Microsoft выпустила несколько дней назад бюллетень, в котором указывается на недавно обнаруженную уязвимость (CVE-2013-3906) в нескольких флагманских разработках компании, а также сообщается о выявлении эксплойтов для неё. Злоумышленники уже используют их для таргетированных атак. Это плохая новость. Хорошая новость состоит в том, что наша технология автоматического блокирования эксплойтов (Automatic Exploit Prevention) функционирует исправно, и новые эксплойты нулевого дня против неё бессильны.

Пока что реальные инциденты имели место только в Юго-Восточной Азии, однако это совершенно не означает, что что-то подобное не может случиться где-то ещё.

Сама по себе уязвимость, допускающая удалённый запуск произвольного кода, выявлена в кодеке для обработки изображений формата TIFF, поставляемом вместе с Microsoft Office/Microsoft Word. Обнаруженные на данный момент эксплойты применяют метод Heap-Spray, записывая свой код по адресу 0x08080808 в «кучу» (Heap) — область динамической памяти приложения. Наши специалисты уже провели исследование известных эксплойтов; с их техническим описанием можно ознакомиться здесь.

Возможные последствия атаки весьма серьёзны: злоумышленник получает те же привилегии в системе, что и пользователь.

В принципе, степень опасности любой уязвимости определяется четырьмя факторами: распространённостью программ, простотой эксплуатации уязвимости (или существования эксплойтов «in the wild»), возможными последствиями атаки и наличием готовых к принятию контрмер.

В данной ситуации мы имеем дело с критической уязвимостью в программных пакетах, чью распространённость переоценить сложно: Microsoft Windows, Microsoft Office и Microsoft Lync в придачу. Правда, уязвимость затрагивает не все версии этих пакетов. Из бюллетеня Microsoft довольно сложно понять, какие именно комбинации опасны, но «головоломку» расшифровали в InfoWorld: Word 2003 и 2007 уязвимы под всеми версиями Windows, начиная с XP и заканчивая Windows 8.1. Word 2010 уязвим под Windows XP и Windows Server 2003, но не под Windows Vista, Windows 7 и Windows 8/8.1. Наконец, Word 2013 эта проблема не затрагивает вовсе.

В бюллетене Microsoft указывается, что с помощью известных на сегодняшний день эксплойтов произведены успешные атаки на Microsoft Office 2007, установленный под Windows XP SP 3. Данной операционной системе в этом году исполнилось 12 лет, но её до сих пор активно используют (на радость многочисленным злоумышленникам, которые прекрасно знают, что данная система весьма уязвима).

hacker_attack_wide

Для осуществления атаки достаточно, чтобы потенциальная жертва открыла специально подготовленное почтовое сообщение с вмонтированным TIFF-изображением. В этом, пожалуй, и заключается главная опасность: злоумышленникам не нужно, в общем-то, тратить силы на какие-то сложные трюки, пытаться с помощью социального инжиниринга заставить, например, пользователя открыть вложение. Достаточно, чтобы он просто открыл письмо.

Возможные последствия атаки весьма серьёзны: злоумышленник получает те же привилегии в системе, что и пользователь. Соответственно, больше всего могут пострадать те, кто использует систему с администраторскими полномочиями постоянно. Большинство пользователей Windows XP именно так всегда и делали (и, вероятно, делают), хотя это и является прямым нарушением основ техники безопасности.

Что же касается контрмер, то здесь Microsoft порадовать нас нечем: доступна лишь Fixit-утилита, которая просто отключает обработку TIFF под Windows. Полноценный патч будет опубликован вместе с очередным комплектом обновлений, вероятно, до конца месяца.

Пока же защититься от этой угрозы можно с помощью нашей технологии Automatic Exploit Prevention. В основе AEP лежит анализ поведения эксплойтов и данных о приложениях, наиболее часто подвергавшихся нападениям злоумышленников, в числе которых Adobe Acrobat, Java, компоненты Windows, Internet Explorer, ну и Microsoft Office тоже.

Каждый раз, когда эти программы пытаются запустить подозрительный код, специальные элементы управления немедленно вмешиваются, прерывают запуск и включают сканирование системы.

Ещё один слой защиты обеспечивает использование технологии Address Space Layout Randomization, которая обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование некоторых уязвимостей.

Эта технология сама по себе используется в Windows, начиная с Vista, однако в Windows XP она отсутствует. При использовании Automatic Exploit Prevention рандомизация адресного пространства производится принудительно, в том числе и в среде Windows XP.

Как указано выше, отмеченные к настоящему моменту успешные атаки как раз и были направлены на Word 2007 под Windows XP.

Все известные на данный момент атаки с использованием этой уязвимости имели сугубо адресный характер. Это, однако, никак не означает снижения уровня потенциальной угрозы. Уязвимость однозначно относится к разряду критических, а эксплойты — к классу 0day (по крайней мере, до тех пор, пока не выйдут соответствующие патчи от Microsoft), и сбрасывать со счетов это обстоятельство не стоит.