24 октября 2014

Щуки в озере: новые баги вынуждают быть начеку

Бизнес

Несколько новых критических ошибок и нападений с их использованием были выявлены на этой неделе, все они достаточно серьезны, хотя ни один баг и не дотягивает до уровня Shellshock или Heartbleed. Отрасль кибербезопасности все еще не оправилась от Shellshock, так что почти любая уязвимость привлекает пристальное внимание. Определился в этом году и некий новый тренд: внезапно не только вредоносные программы и APT-кампании стали получать имена собственные, но и баги тоже. Как будто они того стоят.

Уязвимости различаются. Одни считают критическими, другие – меньшим злом; их важность определяется несколькими известными факторами, такими как легкость в эксплуатации и популярность программного обеспечения. Но вне зависимости от свойств все они требуют серьезного внимания, чтобы в случае появления очередного Shellshock он уже не застал всю сферу кибербезопасности врасплох.

Так с чем же мы имеем дело на этой неделе?

Microsoft прибила три бага

Во-первых, несколько дней назад консультанты по безопасности из iSIGHT Partners взорвали эфир, объявив о кибершпионской кампании Sandworm, которая эксплуатировала уязвимость нулевого дня во всех версиях Windows, начиная с Vista. По иронии, Windows XP осталась ни при чем. Уязвимость нулевого дня была зарегистрирована как CVE-2014-4114; она использует испорченные документы Powerpointдля доставки уже известной вредоносной программы Black Energy (или, скорее, Black Energy 2, которой «Лаборатория Касперского» уже в течение некоторого времени занималась). Уязвимость, в основном, эксплуатируется посредством спиэрфишинга в электронной почте, по крайней мере, с августа.

Исправление появилось во вторник вместе с патчами для двух других, менее известных ошибок: CVE-2014-4148, которая встраивает вредоносный TTF в файл Microsoft Office и, тем самым, предоставляет средства удаленного доступа к системе-мишени, и CVE-2014-4113, которая используется определенным Hurricane Panda APT также для шпионажа. По крайней мере, с февраля эта кампания была нацелена на инфраструктурные компании. Уязвимость используется для повышения привилегий до уровня SYSTEM.

Microsoftвыпустила исправления в бюллетене MS14-058, соответствующие патчи разосланы конечным пользователям посредством автоматического обновления.

И, кстати, Sandworm не имеет ничего общего с вредоносными червями, так что само название может ввести в заблуждение, если только вы не читали «Дюну» Фрэнка Герберта.

Расплавленное ядро Java

Проблемный Java Reflection API снова оказался в центре внимания, так как Oracle выпустила новый критический патч, который устраняет ряд серьезных уязвимостей в Java, найденных в тот же самый день.

Эти баги допускали удаленное выполнение кода, а также повышение привилегий, которое позволяло хакеру получить права администратора базы данных Oracle Database. Опытные эксплойты, разработанные экспертами после обнаружения уязвимостей, сработали в Oracle Database 11g и 12c на 64-битных системах Windows, Linux x86/x86 64-bit и на Solaris x86.

С техническими подробностями можно ознакомиться здесь.

wide

На самом деле давно уже известно, что Java уверенно держит место в верхней части списка «виновного программного обеспечения» наряду с Adobe Flash и Reader. Проблемы в этом ПО выявляют довольно часто и эксплуатируют их тоже нередко. Например, в последнем обновлении Oracle Critical Patch исправлены 25 ошибок, 22 из которых позволяют удаленно выполнить код.

Самые последние проблемы требуют серьезного и немедленного внимания — то есть патчи должны ставиться как можно быстрее. Но для Java на самом деле это почти штатная ситуация.

POODLE

Исследователи Googleвыявили новую атаку на SSL v3, которая использует проблемы с протоколом, позволяющие сетевому злоумышленнику восстанавливать сообщения жертвы, переданные открытым текстом. Методика паразитирует на том, что в случае неудачи с установкой защищенного соединения серверы переходят к более старым протоколам, таким как SSL v3, в попытке обменяться информацией с удаленным клиентом по безопасному каналу. Злоумышленник может вызвать ошибку соединения, навязать использование SSL v3 и попытаться атаковать снова.

Эта проблема из разряда фундаментальных. Принцип «Downgrade Dance» (движение по версиям протоколов от новых к старым) используется многими клиентами TLS для работы со старыми серверами, которые еще функционируют.

Для совершения атаки преступник должен контролировать доступ жертвы в интернет и иметь возможность запускать коды Javascript в браузере жертвы.

Технические подробности доступны здесь. Проблема, несмотря на всю ее фундаментальность, довольно легко устранима. Самый простой способ — отключить SSL v3, хотя это вызовет проблемы с совместимостью браузеров, особенно старых, и трудности у операторов сайта. Исследователи предлагают использовать механизм TLS_FALLBACK_SCSV, который решает проблемы, вызванные повторным неудачным соединением, тем самым, не давая злоумышленникам возможности принудить браузеры использовать SSL 3.0. Он также предотвращает даунгрейд с TLS 1.2 до 1.1 или 1.0, таким образом, помогая предотвратить будущие нападения.

Заключение

Опасность, которую представляют уязвимости, определяется несколькими факторами, такими как популярность подверженного программного обеспечения, легкость эксплуатации бага и сложность его ликвидации. «Стандартные» уязвимости выявляются в общедоступном программном обеспечении, таком как Java, Flash, Microsoft Office и т.п., их исправляют сами разработчики. Единственное, что остается конечным пользователям, — это установить выпущенные патчи как можно скорее, а не месяцы спустя. Уязвимости Microsoft и Java, описанные выше, довольно «обычны», хотя они все равно критические.

Таков же был и Shellshock. Он привлек к себе внимание, главным образом, тем, что «никто не ожидал» ничего подобного от открытого программного обеспечения, которое считается надежнее проприетарного. Хотя при использовании настолько устаревшего куска кода разумно ожидать, что он может оказаться, по меньшей мере, неидеальным.

Есть много куда более неприятных штук вроде изъянов в протоколах общего/основного соединения и/или протоколах шифрования, и порой они провоцируют настоящую глобальную панику. Атака POODLE эксплуатирует внутреннюю слабость архитектуры TSL/SSL, которой, по несчастью, легко воспользоваться.

Однако, как уже было сказано в начале, все уязвимости, обозначенные критическими, требуют пристального и немедленного внимания, будь они распространены или не очень. И это та работа, которую лучше выполнять систематически. Опять же, на самом деле хорошо, что после Heartbleed и Shellshock о программных уязвимостях пишут все больше. На то и щука в озере, чтобы чтоб карась не дремал.