В декабре минувшего года разработчики Microsoft, в ответ на
выложенный на всеобщее
обозрение эксплоит, который эксплуатировал уязвимость в FTP-сервере IIS,
сообщили пользователям, что угроза не является серьёзной, т.к. худшие ее
последствия – падение самого приложения.
Руководитель программы по безопасности IIS Назим Лала отметил в своём блоге
такую положительную черту новых ОС, как меры предупреждения угроз и минимизация
их последствий - у хакеров не было возможности управлять данными, которые были
перезаписаны в оперативной памяти. Это стало ещё одной победой основательного
подхода компании Microsoft к разработке кода, многочисленные уровни защиты
сделали систему менее уязвимой к атакам хакеров.
Однако выяснилось, что победа немного омрачена. "Белые" хакеры Крис Валасек и
Райан Смит, сотрудники компании Accuvant Labs, опубликовали
скриншоты, доказывающие,
что у них не возникло никаких проблем при доступе к частям памяти компьютера,
защищенных системой под названием Heap-exploitation mitigation, которая
должна была противостоять этому. Преодолев это препятствие, они показали, что
ошибка в IIS оказалась намного серьёзнее, чем предполагал первоначальный анализ
Microsoft.
До настоящего момента их методика, с помощью которой можно обойти защиту
кучи, была неизвестна никому, кроме узкого круга разработчиков. В субботу
Валасек и Смит, последний является главным исследователем компании Accuvant,
поделились секретом на конференции по безопасности, которая проходила в
Майами Бич.
Функция минимизации последствий взлома динамически распределяемой памяти
дебютировала во втором пакете обновлений Windows XP, и позже была
усовершенствована в последующих ОС. Она вычисляет участки памяти, которые были
повреждены при переполнении кучи, и завершает основной процесс. Эта технология
являлась важным нововведением для Microsoft. Фактически за ночь целая группа
уязвимостей, которая позволяла хакерам получить полный контроль над операционной
системой, была устранена.
При работе с новыми ОС, взломщики не сумеют сделать ничего больше, как
обрушить приложение, содержащее ошибку.
Валасек и Смит смогли обойти защиту, потому что Microsoft переработала
конструкцию кучи, а также включила новую систему - LFH, или low fragmentation
heap, которая должна была повысить скорость и улучшить качество работы, выявляя
для приложений свободные места в памяти. И по причинам, которые всё ещё остаются
неясными, новая система не применяет функцию минимизации последствий
переполнения кучи (Heap-exploitation mitigation).
"Они открыли новую дорогу для хакеров, отличное начинание для взломщиков и
плохое для конечных пользователях", - заметил Смит. "Закрыли заднюю дверь, но
открыли окно".
Функция LFH не включена по умолчанию, и взломщикам часто нужно прикладывать
много усилий, чтобы активизировать её. В случае с уязвимостью в IIS в декабре,
они включили её с помощью запуска определённых образом сформированных команд FTP.
С помощью этого довольно необычного способа у них не возникло никаких проблем
при управлении памятью на заранее выбранном компьютере.
Валасек и Смит быстро выявили, что обход защиты требует сравнительно больше
усилий и умений со стороны хакера. Пять-десять лет назад хакерам-разработчикам
зачастую можно было повторно использовать огромное количество кода при написании
нового эксплоита. В этом случае так сделать не получится.
"В отличие от других техник взлома прошлых лет, приходится знать всё об
исходной ОС и приложении, активизирующим LFH, а также как использовать их в
своих целях", - сказал Валасек. "Ты не можешь действовать вслепую".
Это напоминает о характере работы в сфере системной безопасности, где идёт
постоянная "гонка вооружений" - разработка ПО против шпионского ПО, в которой
"черные" хакеры постоянно обходят новые средства защиты, разработанные "белыми"
хакерами, в которой приходится непрерывно совершенствовать старые и создавать
новые способы системной защиты. В такой же "гонке вооружения" хакеры обнаружили
способы обойти другие механизмы системной защиты: технологию
JIT spray для взлома
ASLR и
возвратно-ориентированное программирование против DEP.
Всё таки, по словам разработчиков, меры по защите и минимизации последствий
взлома на сегодняшний день являются неизбежной частью разработки ПО.
"Даже такие меры по предупреждению угроз, которые могут защитить конечного
пользователя, но не в состоянии гарантировать компаниям, что им не придётся
патчить свои приложения, уже хороши, потому что это усложняет работу хакеров", -
говорит Смит. "Это позволяет выиграть время".
выложенный на всеобщее
обозрение эксплоит, который эксплуатировал уязвимость в FTP-сервере IIS,
сообщили пользователям, что угроза не является серьёзной, т.к. худшие ее
последствия – падение самого приложения.
Руководитель программы по безопасности IIS Назим Лала отметил в своём блоге
такую положительную черту новых ОС, как меры предупреждения угроз и минимизация
их последствий - у хакеров не было возможности управлять данными, которые были
перезаписаны в оперативной памяти. Это стало ещё одной победой основательного
подхода компании Microsoft к разработке кода, многочисленные уровни защиты
сделали систему менее уязвимой к атакам хакеров.
Однако выяснилось, что победа немного омрачена. "Белые" хакеры Крис Валасек и
Райан Смит, сотрудники компании Accuvant Labs, опубликовали
скриншоты, доказывающие,
что у них не возникло никаких проблем при доступе к частям памяти компьютера,
защищенных системой под названием Heap-exploitation mitigation, которая
должна была противостоять этому. Преодолев это препятствие, они показали, что
ошибка в IIS оказалась намного серьёзнее, чем предполагал первоначальный анализ
Microsoft.
До настоящего момента их методика, с помощью которой можно обойти защиту
кучи, была неизвестна никому, кроме узкого круга разработчиков. В субботу
Валасек и Смит, последний является главным исследователем компании Accuvant,
поделились секретом на конференции по безопасности, которая проходила в
Майами Бич.
Функция минимизации последствий взлома динамически распределяемой памяти
дебютировала во втором пакете обновлений Windows XP, и позже была
усовершенствована в последующих ОС. Она вычисляет участки памяти, которые были
повреждены при переполнении кучи, и завершает основной процесс. Эта технология
являлась важным нововведением для Microsoft. Фактически за ночь целая группа
уязвимостей, которая позволяла хакерам получить полный контроль над операционной
системой, была устранена.
При работе с новыми ОС, взломщики не сумеют сделать ничего больше, как
обрушить приложение, содержащее ошибку.
Валасек и Смит смогли обойти защиту, потому что Microsoft переработала
конструкцию кучи, а также включила новую систему - LFH, или low fragmentation
heap, которая должна была повысить скорость и улучшить качество работы, выявляя
для приложений свободные места в памяти. И по причинам, которые всё ещё остаются
неясными, новая система не применяет функцию минимизации последствий
переполнения кучи (Heap-exploitation mitigation).
"Они открыли новую дорогу для хакеров, отличное начинание для взломщиков и
плохое для конечных пользователях", - заметил Смит. "Закрыли заднюю дверь, но
открыли окно".
Функция LFH не включена по умолчанию, и взломщикам часто нужно прикладывать
много усилий, чтобы активизировать её. В случае с уязвимостью в IIS в декабре,
они включили её с помощью запуска определённых образом сформированных команд FTP.
С помощью этого довольно необычного способа у них не возникло никаких проблем
при управлении памятью на заранее выбранном компьютере.
Валасек и Смит быстро выявили, что обход защиты требует сравнительно больше
усилий и умений со стороны хакера. Пять-десять лет назад хакерам-разработчикам
зачастую можно было повторно использовать огромное количество кода при написании
нового эксплоита. В этом случае так сделать не получится.
"В отличие от других техник взлома прошлых лет, приходится знать всё об
исходной ОС и приложении, активизирующим LFH, а также как использовать их в
своих целях", - сказал Валасек. "Ты не можешь действовать вслепую".
Это напоминает о характере работы в сфере системной безопасности, где идёт
постоянная "гонка вооружений" - разработка ПО против шпионского ПО, в которой
"черные" хакеры постоянно обходят новые средства защиты, разработанные "белыми"
хакерами, в которой приходится непрерывно совершенствовать старые и создавать
новые способы системной защиты. В такой же "гонке вооружения" хакеры обнаружили
способы обойти другие механизмы системной защиты: технологию
JIT spray для взлома
ASLR и
возвратно-ориентированное программирование против DEP.
Всё таки, по словам разработчиков, меры по защите и минимизации последствий
взлома на сегодняшний день являются неизбежной частью разработки ПО.
"Даже такие меры по предупреждению угроз, которые могут защитить конечного
пользователя, но не в состоянии гарантировать компаниям, что им не придётся
патчить свои приложения, уже хороши, потому что это усложняет работу хакеров", -
говорит Смит. "Это позволяет выиграть время".
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера