Уязвимости 0-Day

Критические уязвимости в операционной системе Windows неизменно приводят к всплеску вирусной активности, а порой и к глобальным эпидемиям. Так было в августе 2003 года, когда Lovesan использовал уязвимость в службе RPC DCOM, так было в апреле 2004, когда автор Sasser заразил несколько миллионов компьютеров по всему миру, через уязвимость в службе LSASS. Так было в этом году с уязвимостью MS05-039 в службе Plug'n'Play. Но это все уязвимости системного уровня, которые дают возможность прямого проникновения извне, через порты. Существует еще один компонент Windows, который напрямую ответственен за громадное число случаев заражения. Я говорю о браузере Internet Explorer. Количество обнаруженных в нем дыр уже давно исчисляется десятками. Самые опасные из них позволяют злоумышленникам установить на ваш компьютер любой файл при простом посещении вами зараженного web-сайта. Exploit.HTML.Mht, Trojan-Downloader.JS/VBS.Psyme, IframeBof и еще несколько уязвимостей являются основной причиной заражения компьютеров в настоящее время.

Сразу две критические уязвимости в Windows были преданы огласке еще до того, как для них были опубликованы исправления.

К счастью, до сих пор нам удавалось избегать ситуации, когда в публичный доступ попадал эксплойт уязвимости, от которой еще не было патча. В среде специалистов по безопасности подобные эксплойты называются «0-day». Если в ситуации с вирусами, которые используют уже известную уязвимость, проблему можно решить путем установки патча от Microsoft, то для вирусов, основанных на 0-day, таких патчей еще не существует. Microsoft до сих пор удавалось контролировать этот процесс путем сотрудничества с компаниями, специализирующимися на поиске уязвимостей. Несмотря на то что с момента обнаружения некоторых дыр до момента их исправления порой проходило несколько месяцев, эту информацию удавалось держать в тайне и она была недоступна широкому кругу людей.

Однако конец 2005 года оказался переломным в этом плане. Сразу две критические уязвимости в Windows, обнаруженные с разницей в один месяц, были преданы огласке еще до того, как для них были опубликованы исправления. В обоих случаях уязвимости были использованы для распространения вредоносных программ.

21 ноября 2005 года британская группа исследователей под странным названием Computer Terrorism опубликовала Proof of Concept эксплойта против полностью пропатченной версии IE. Дыра заключалась в обработке java script функции 'window()'. Впервые о подобной уязвимости стало известно еще в мае 2005 года, однако на тот момент специалисты Microsoft не смогли найти способов ее использования для выполнения произвольного кода в системе и сочли ее некритичной. Как следствие, выпуск исправления для нее был отложен на долгое время.

Исследователи из Computer Terrorism смогли разобраться в уязвимости лучше, чем Microsoft. Их PoC после небольшой доработки позволял установить в систему файл и выполнить его, без согласия и уведомления пользователя.

Вирусописателям потребовалось чуть больше недели, чтобы начать размещать на сайтах в Интернете вредоносный код эксплойта. Нами было зафиксировано несколько троянских программ, распространявшихся таким образом. Единственным средством борьбы с уязвимостью является полное отключение Java Script в IE, но этим способом пользуется крайне малое число пользователей. Несколько десятков (а возможно и сотен) миллионов людей по всему миру оказались без защиты перед подобными троянцами. Это был первый случай, когда у нас были троянские программы, использующие брешь в Windows, а заплатки от Microsoft еще не было.

Единственным средством борьбы с уязвимостью является полное отключение Java Script в IE.

Казалось бы, в такой ситуации Microsoft должен был приложить максимум усилий для скорейшего исправления проблемы. Ведь эта компания последнее время очень активно позиционирует себя как одного из лидеров борьбы с компьютерными вирусами, выпускает собственные антивирусные решения и борется с вирусописателями судебными мерами. Однако в данном случае Microsoft повел себя более чем странно. Представители компании заявили, что, несмотря на критичность проблемы, они не собираются выпускать патч вне очереди. (С 2004 года Microsoft перешел на практику ежемесячного выпуска обновлений, которые публикуются каждый второй вторник месяца. В этот раз выпуск патча был назначен на 13 декабря и сдвигать сроки MS не собирался.)

Я не знаю, чем было вызвано такое решение. Я не хочу думать, что специалисты Microsoft не смогли сделать патч быстро и поэтому тянули время. Я не хочу думать, что ради соблюдения формального принципа «патчи раз в месяц» Microsoft пошел на то, чтобы оставить своих пользователей без защиты. Я просто констатирую факт: прошло три недели с момента опубликования PoC. Прошло полгода с момента первого сообщения об уязвимости. Все это время каждый из пользующихся IE мог быть заражен (и зараженные действительно были) по вине Microsoft. Это вопиющий факт, который можно было бы считать случайностью, если бы менее чем через две недели ситуация не повторилась, причем в гораздо более серьезной форме.

26 декабря несколько антивирусных компаний получили от своих пользователей, агентов, а также систем автоматического поиска и сбора подозрительных файлов несколько загадочных WMF-файлов. При их анализе выяснилось, что в них содержится исполняемый код, предназначенный для загрузки файлов с различных сайтов, известных в качестве распространителей adware/spyware программ. Исполнение вредоносного кода осуществлялось при попытке открытия WMF-файла, а также при некоторых других действиях, например при открытии с помощью «Проводника» каталога, в котором находился файл, при попытке просмотра свойств файла. Выполнение кода происходило на всех существующих версиях операционной системы Windows (включая Windows 95/98) со всеми установленными обновлениями.

Стало ясно, что мы столкнулись с очередной 0-Day уязвимостью, о которой Microsoft еще ничего не известно. Самым печальным фактом было то, что об уязвимости в вирусописательских кругах стало известно не только раньше, чем в Microsoft, но и раньше, чем в любой крупной исследовательской компании, специализирующейся на поисках уязвимостей.

За одну неделю было обнаружено более тысячи вредоносных «картинок».

В течение двух последующих дней многими экспертами был произведен анализ уязвимости и были опубликованы соответствующие информационные бюллетени, а практически все антивирусные компании выпустили процедуры эвристического детектирования опасных wmf-файлов. Однако джинн уже вырвался из бутылки и все новые и новые троянские программы, использующие данную дыру, наводнили интернет. За одну неделю было обнаружено более тысячи (!!!) вредоносных «картинок». Ситуация грозила выйти из-под контроля, ведь уязвимыми были все без исключения компьютеры, работающие под управлением операционной системы Windows всех версий, — а это сотни миллионов машин по всему миру. Были обнаружены несколько червей, а также ряд массовых спам-рассылок, в которых также использовался вредоносный код эксплойта.

К счастью, по срокам это событие совпало с рождественскими каникулами в странах Западной Европы и США, а также новогодними праздниками. В эти дни число активных пользователей интернета значительно снижено, и, что самое главное, крупные корпорации в эти дни тоже не работали. Только это спасло интернет от одной из самых крупных проблем последних лет.

«А что же Microsoft?» — спросите вы.

Microsoft второй раз подряд повел себя «странно». Гигант из Редмонда взял «гроссмейстерскую паузу» в несколько дней, ограничившись изданием информационного бюллетеня KB912840, в котором констатировал факт обнаружения уязвимости и привел список уязвимых версий Windows. После чего с чувством выполненного долга удалился на празднование Нового года. Чуть больше конкретики появилось только 3 января, когда Microsoft заявил о том, что патч выйдет согласно «утвержденному графику», а именно 10 января. В качестве оправдания приводились аргументы о необходимости тщательного тестирования патча на всех версиях Windows и на всех локализациях. Также представители Microsoft пытались позиционировать проблему как «критическую, но не имеющую зафиксированной масштабной вирусной эпидемии».

Под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001.

Мир IT-безопасности буквально взорвался. Второй раз в течение месяца мы столкнулись с ситуацией, когда Microsoft оказался не только не способен быстро решить проблему, но и адекватно воспринимать создавшуюся ситуацию. Количество критических, гневных, а порой и оскорбительных статей в адрес детища Билла Гейтса сравнялось по числу с количеством обнаруженных вредоносных wmf-файлов. Одновременно с этим произошла утечка бета-версии патча от Microsoft для Windows XP. Она была опубликована на нескольких сайтах в Интернете вкупе еще с одним неофициальным исправлением, созданным автором IDA Ильфаком Гульфановым, и стала единственным способом решить проблему, не дожидаясь официальной поддержки.

В конце концов, под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.

Отложим в сторону колчан с отравленными стрелами, ситуация ясна и все уже сказано неоднократно. Оставим рассуждения о поведении MS другим экспертам, а выводы предлагаем всем сделать самостоятельно.

Остановимся на другой стороне проблемы, а именно на том, что уязвимость изначально была обнаружена представителями андеграунда.

Одними из первых покупателей стали представители криминального adware/ spyware бизнеса.

Проведенное нами расследование выявило примерную картину произошедшего. Вероятнее всего, уязвимость была найдена неизвестным автором примерно 1 декабря 2005 года, плюс-минус несколько дней. Еще несколько дней ушло на создание примера эксплойта, позволяющего выполнить произвольный код в системе. Примерно с середины декабря на нескольких специализированных сайтах в интернете начинают появляться предложения о продаже данного эксплойта. Судя по всему, продажей эксплойта занималось несколько (2-3) конкурирующих групп хакеров из России. Что интересно, зачастую продавцы сами не знали сути уязвимости. Эксплойт предлагался для покупки по цене 4 тысячи долларов США. Одними из первых покупателей стали представители криминального adware/spyware бизнеса. От них же впоследствии и произошла утечка эксплойта в паблик.

Мы не знаем, кто первым обнаружил эту уязвимость, мы только знаем о тех людях, которые были причастны к распространению эксплойта и его модификации. Эти данные, плюс явный «русский след» во всей этой истории, позволяют сделать вывод о том, почему же уязвимость не была продана ими одной из компаний, занимающихся «поиском» уязвимостей, например eEye или iDefence. Во-первых, эти люди сами не обладали точным представлением о принципах работы уязвимости, во-вторых, они изначально были ориентированы на продажу эксплойта киберкриминальным кругам, и в-третьих, сообщения о продаже эксплойта не попали в поле зрения компаний-исследователей, поскольку, как уже было отмечено, в основном эксплойт предлагался на русском черном рынке.

Мобильные тенденции

В целом в четвертом квартале 2005 года ситуация с вирусами для мобильных телефонов оставалась стабильной. Поток новых троянских программ равномерно нарастал, укладываясь в ожидаемые нами расчеты. Многие из тенденций развития вредоносных программ для смартфонов, которые были отмечены в сентябрьской статье, полностью подтвердились. В первую очередь это выразилось в появлении первой программы, ориентированной на кражу пользовательских данных. Троянец Pbstealer получает доступ к адресной книге зараженного телефона и отсылает ее через Bluetooth на первое доступное устройство.

Значительно выросла популяция троянцев двойного назначения — ориентированных на одновременное заражение не только телефона, но и персонального компьютера, который подключается к такому телефону.

Не стоит забывать и о троянцах-вандалах, которые составляют подавляющее большинство вредоносных программ для смартфонов. Теперь в их арсенале, помимо порчи системных файлов путем их подмены неработающими копиями или удаления информации, появились и средства для блокировки данных. Семейство троянских программ Cardblock устанавливает пароль доступа на съемную карту памяти телефона, и в случае удаления вируса из телефона, доступ к этим данным становится невозможным. Очевидно, что следующим шагом эволюции может стать шифрование данных с последующим требованием денег за восстановление данных (аналогично ситуации с троянцем Gpcode или Krotten на PC).

Эпидемия мобильного вируса перешла из разряда футуристической теории в категорию суровой реальности.

Другим неприятным фактом IV квартала стало то, что эпидемия мобильного вируса перешла из разряда футуристической теории в категорию суровой реальности. Мы начали продажи своего антивируса для мобильных телефонов в России и странах бывшего СССР, и сразу же получили массу случаев подтверждения заражения, о которых ранее могли только догадываться или строить свои выводы на основе собственных экспериментов по ловле вирусов в «дикой природе». В большинстве случаев речь идет о старом знакомом — черве Cabir, распространяющемся через Bluetooth и обнаруженном уже более чем в трех десятках стран по всему миру. Очевидно, что в случае появления нового мобильного червя аналогичного поведения мы станем свидетелями еще одной глобальной эпидемии.

Тревожным фактом становится то, что большинство новых вредоносных программ поступает из Азиатского региона, в первую очередь из Китая и Южной Кореи. Повышенная плотность населения в этих странах, а также высокий уровень компьютеризации и телефонизации населения является усугубляющим фактором, создающим дополнительные возможности для начала массовой эпидемии мобильных вирусов в этом регионе мира. Не стоит забывать и том, что расположенные там же Таиланд, Малайзия и Индонезия являются одними из мировых центров туризма, а значит, любая эпидемия моментально выйдет за пределы региона, путем распространения вируса через телефоны туристов.