Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe - Wersja do druku +- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl) +-- Dział: Windows 7 (/windows-7-4-f) +--- Dział: Newsy i aktualności o Windows 7 (/newsy-i-aktualnosci-o-windows-7-6-f) +---- Dział: Aktualności i wydarzenia branży IT (/aktualnosci-i-wydarzenia-branzy-it-52-f) +---- Wątek: Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe (/innowacyjny-exploit-zagraza-windows-i-office-napastnicy-przesiedli-sie-z-flash-playe-37184-t) |
Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe - Portator - 06.11.2013 15:33 Zarówno Microsoft, jak i niezależni eksperci od bezpieczeństwa IT ostrzegają: od kilku dni w Sieci można natrafić na niebezpieczny exploit, wykorzystujący nieznaną wcześniej lukę w Windows i Office do zdalnej instalacji złośliwego oprogramowania na komputerach ofiar. Jak na razie na celowniku cyberprzestępców są przede wszystkim organizacje z Azji Południowo-wschodniej i Bliskiego Wschodu, ale pojawiają się też pierwsze doniesienia o atakach w Europie i Ameryce Północnej.
Wektorem ataku jest spreparowany plik .doc, rozsyłany jako załącznik w e-mailach. Jeśli zostanie on otwarty do edycji lub podglądu, próbuje wykorzystać błąd w obsłudze plików TIFF, aby uruchomić swój ładunek z uprawnieniami zaatakowanego użytkownika. Błąd ten, występujący w komponencie GDI Windows, można wykorzystać w pakietach biurowych od Office 2003 do Office 2010, oraz we wszystkich wspieranych wersjach komunikatora Lync. Użytkownicy Office 2010 korzystający z tego pakietu na nowszych wersjach Windows (od 7 do 8.1) są jednak bezpieczni – dzięki zmianom w sposobie komunikacji z GDI, exploit w tym scenariuszu nie działa. Exploit jest wart uwagi choćby ze względu na jego poziom technicznego zaawansowania. Elia Florio z Microsoft Security Response Center wyjaśnia, że twórcom exploita udało się ominąć sprytnie systemowe zabezpieczenia DEP (Data Execution Prevention) i ASLR (Adress Space Layout Randomization). Kod ataku przeprowadza na dużą skalę rozpylanie na stercie za pomocą kontrolek ActiveX, wykorzystując stworzone za pomocą techniki ROP (Return-Oriented Programming) gadżety, by zaalokować wykonywalne strony. ROP jest jedną z najciekawszych metod na uruchomienie obcego kodu w warunkach aktywnych zabezpieczeń systemowych, jakie do tej pory opracowano. Napastnik stara się w niej przejąć kontrolę nad stosem wywołań, aby zmodyfikować przepływ sterowania działającej już aplikacji, a następnie uruchamiać znalezione w niej sekwencje kodu maszynowego zwane właśnie gadżetami, umieszczane zwykle w podprocedurach współdzielonych bibliotek. Każdy taki gadżet kończy się instrukcją powrotu (stąd nazwa), tak więc napastnik stara się uruchamiać je w określonej kolejności, by dynamicznie „zmontować” z gadżetów pożądany wrogi kod. Dziś cały ten proces jest w wysokim stopniu zautomatyzowany, istnieją narzędzia przeszukujące pliki binarne pod kątem gadżetów, a jak twierdzi badacz Hovav Schacham, dla pliku binarnego o odpowiednich rozmiarach istnieje dość gadżetów, by zapewnić tworzonemu w ten sposób kodowi kompletność Turinga (czyli w praktyce pozwolić na uruchomienie dowolnego kodu). Przykład takiego ataku, stworzonego za pomocą automatycznego generatora gadżetów ROPgadget, możecie obejrzeć na poniższym wideo: https://www.youtube.com/watch?v=a8_fDdWB2-M Haifei Li z McAfee, który jako pierwszy poinformował Microsoft o luce w obsłudze plików TIFF, twierdzi, że do tej pory takich ataków, wykorzystujących obiekty ActiveX, na żywo nie widziano. Do tej pory napastnicy korzystali zwykle z Flash Playera – jednak wprowadzenie przez Adobe mechanizmu click-to-play sprawiło, że zmuszeni zostali oni poszukać nowego sposobu. Można się spodziewać, że w przyszłości będzie on stosowany coraz częściej, szczególnie w atakach wymierzonych w środowiska korporacyjne, gdzie kombinacje starszych wersji Windows ze starszymi wersjami Office czy komunikatora Lync jest niemal równie często spotykana, co np. Internet Explorer z Flash Playerem. Na razie łatki, eliminującej wspomniane zagrożenie, jeszcze nie ma. Szczęśliwie jednak Microsoft przedstawił jednak sposób na uchronienie się przed atakiem – blokuje on renderowanie obrazków TIFF. W warunkach korporacyjnych pomóc może też zainstalowanie zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET). Za: dobreprogramy.pl |