Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe

Zarówno Microsoft, jak i niezależni eksperci od bezpieczeństwa IT ostrzegają: od kilku dni w Sieci można natrafić na niebezpieczny exploit, wykorzystujący nieznaną wcześniej lukę w Windows i Office do zdalnej instalacji złośliwego oprogramowania na komputerach ofiar. Jak na razie na celowniku cyberprzestępców są przede wszystkim organizacje z Azji Południowo-wschodniej i Bliskiego Wschodu, ale pojawiają się też pierwsze doniesienia o atakach w Europie i Ameryce Północnej.

Wektorem ataku jest spreparowany plik .doc, rozsyłany jako załącznik w e-mailach. Jeśli zostanie on otwarty do edycji lub podglądu, próbuje wykorzystać błąd w obsłudze plików TIFF, aby uruchomić swój ładunek z uprawnieniami zaatakowanego użytkownika. Błąd ten, występujący w komponencie GDI Windows, można wykorzystać w pakietach biurowych od Office 2003 do Office 2010, oraz we wszystkich wspieranych wersjach komunikatora Lync. Użytkownicy Office 2010 korzystający z tego pakietu na nowszych wersjach Windows (od 7 do 8.1) są jednak bezpieczni – dzięki zmianom w sposobie komunikacji z GDI, exploit w tym scenariuszu nie działa.

Exploit jest wart uwagi choćby ze względu na jego poziom technicznego zaawansowania. Elia Florio z Microsoft Security Response Center wyjaśnia, że twórcom exploita udało się ominąć sprytnie systemowe zabezpieczenia DEP (Data Execution Prevention) i ASLR (Adress Space Layout Randomization). Kod ataku przeprowadza na dużą skalę rozpylanie na stercie za pomocą kontrolek ActiveX, wykorzystując stworzone za pomocą techniki ROP (Return-Oriented Programming) gadżety, by zaalokować wykonywalne strony.

ROP jest jedną z najciekawszych metod na uruchomienie obcego kodu w warunkach aktywnych zabezpieczeń systemowych, jakie do tej pory opracowano. Napastnik stara się w niej przejąć kontrolę nad stosem wywołań, aby zmodyfikować przepływ sterowania działającej już aplikacji, a następnie uruchamiać znalezione w niej sekwencje kodu maszynowego zwane właśnie gadżetami, umieszczane zwykle w podprocedurach współdzielonych bibliotek. Każdy taki gadżet kończy się instrukcją powrotu (stąd nazwa), tak więc napastnik stara się uruchamiać je w określonej kolejności, by dynamicznie „zmontować” z gadżetów pożądany wrogi kod. Dziś cały ten proces jest w wysokim stopniu zautomatyzowany, istnieją narzędzia przeszukujące pliki binarne pod kątem gadżetów, a jak twierdzi badacz Hovav Schacham, dla pliku binarnego o odpowiednich rozmiarach istnieje dość gadżetów, by zapewnić tworzonemu w ten sposób kodowi kompletność Turinga (czyli w praktyce pozwolić na uruchomienie dowolnego kodu). Przykład takiego ataku, stworzonego za pomocą automatycznego generatora gadżetów ROPgadget, możecie obejrzeć na poniższym wideo:


Haifei Li z McAfee, który jako pierwszy poinformował Microsoft o luce w obsłudze plików TIFF, twierdzi, że do tej pory takich ataków, wykorzystujących obiekty ActiveX, na żywo nie widziano. Do tej pory napastnicy korzystali zwykle z Flash Playera – jednak wprowadzenie przez Adobe mechanizmu click-to-play sprawiło, że zmuszeni zostali oni poszukać nowego sposobu. Można się spodziewać, że w przyszłości będzie on stosowany coraz częściej, szczególnie w atakach wymierzonych w środowiska korporacyjne, gdzie kombinacje starszych wersji Windows ze starszymi wersjami Office czy komunikatora Lync jest niemal równie często spotykana, co np. Internet Explorer z Flash Playerem.

Na razie łatki, eliminującej wspomniane zagrożenie, jeszcze nie ma. Szczęśliwie jednak Microsoft przedstawił jednak sposób na uchronienie się przed atakiem – blokuje on renderowanie obrazków TIFF. W warunkach korporacyjnych pomóc może też zainstalowanie zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET).