Jump to content

Уязвимост в обвивката на Windows и препратките и защита срещу нея


Препоръчан пост

Обикновено не създавам специални теми за уязвимости, но този път правя изключение, защото става въпрос за уязвимост, която има потенциала да нанесе много щети на много потребители. Затова считам за важно и полезно да има специална тема, посветена на въпросната уязвимост.

 

Преди да се впусна в обяснения е добре да разясня с няколко думи какво е "уязвимост". Това е дефект/проблем в програмния код на дадена операционна система или програма, който позволява компрометиране на сигурността на системата при конкретни обстоятелства. Нека дам два примера: 1) уязвимост в Internet Explorer, която позволява при отваряне на специална връзка (link) даден злонамерен потребител (хакер) да придобие контрол над компютъра или 2) уязвимост в Windows Media Player, която позволява изпълнението на зловреден код при опит за възпроизвеждане на специално създаден видео файл. Това са просто два примера. Иначе уязвимостите могат да бъдат най-разнообразни: намират се в различни програми, компрометират системата по различен начин и при различни обстоятелства. Някои са доста невзрачни, докато други са доста опасни. Текущата уязвимост спада в категорията "леле мале!" или с други думи "OMFG! WTF?!", което може да е по-ясно за някои потребители.

Уязвимости има най-различни и в почти всяка програма. Общото правило е: колкото по-сложна и голяма е дадена програма, толкова по-голям е шансът да има уязвимости в нея. Друго важно правило е: по-известните програми имат по-голям известен брой уязвимости, защото са обект на повече изследване и проучване за такива. Разбира се тези уязвимости първо трябва да се открият, за да могат да се експлоатират. И разбира се тези уязвимости биват отстранявани чрез обновления на продукта. Понякога това става в рамките на няколко часа (да се появи нова версия или кръпка, отстраняваща проблема), а понякога това отнема месеци.

 

Сега, след като имате обща представа какво е това "уязвимост", можем да продължим напред.

 

За какво иде реч?

На 16 юли Microsoft за пръв път публикува бюлетин с потвърждение на уязвимост в обвивката на Windows (т.нар. shell). Тази уязвимост позволява да бъде изпълнен зловреден код с помощта на специално изработени препратки (shortcuts), който се задейства при опит за показване на иконата на дадената препратка. Засегнати са всички файлове с разширение .lnk и .pif, тъй като това са именно препратките.

Повече информация можете да откриете в публикацията: Microsoft Security Advisory (2286198)

 

Защо това е толкова голям проблем?

Това е голям проблем поради няколко причини:

1. Става въпрос за уязвимост. При уязвимостите обикновено се изисква по-малка потребителска намеса от случаите, когато потребителят получава опасен изпълним файл, който да стартира ръчно.

2. Става въпрос за уязвимост, която засяга всички (малко или много) съвременни версии на Windows:

- Windows 2000

- Windows XP

- Windows 2003

- Windows Vista

- Windows 7

- Windows 2008

Отнася се и за всичките им разновидности разбира се (Home, Professional, Ultimate и прочее издания).

3. Става въпрос за уязвимост, която е лесна за експлоатация и не изисква от потребителя почти никаква намеса. В общи линии са нужни 2 файла: един, който да съдържа зловредния код (бидейки под формата на DAT, TMP или DLL например) и една препратка, която да го стартира. От потребителят се изисква просто да отвори папката с тези два файла. Нищо повече. В момента, в който Windows се опита да изобрази иконата на препратката, се изпълнява и зловредния код. Иначе казано: отваряте папка с такива два файла и без да правите нищо друго след 2 секунди сте заразени с някаква гадинка. Каква по-точно вече зависи от случая. Уязвимостта просто предоставя лесен и ефективен начин за заразяване.

4. Поради естеството на уязвимостта, тя остава незабелязана и от на практика всички HIPS програми на настройки по подразбиране. Ако дадената HIPS програма предлага възмжоност за потребителски настройки и затягането им, то с промяна на правилата по подразбиране е възможно да се постигне защита срещу експлойти, които се възползват от тази уязвимост.

5. Уязвимостта има потенциала да се разпространява много бързо, като главни кандидат-носители на заразите, възползващи се от тази уязвимост, отново се оказват преносимите външни flash памети (още известни като "флашки") и твърди дискове. Разбира се не са само те. Уязвимостта може да бъде задействана от препратка в email в Outlook Express, в някакъв споделен ресурс в LAN мрежа, чрез скрипт в Интернет страница и др. Както вече споменах, нужно е само да се отвори папка, съдържаща зловредните файлове. Всичко друго става автоматично. Вариантите са много.

6. Вече има доста зловреден код, който се възползват от въпросната уязвимост, което я прави не просто теоритична, но и реално експлоатирана и то от някои доста неприятни гадинки като наскоро появилият се Stuxnet и нашият добър "приятел" - полиморфният вирус Sality, който имаше момент на популярност преди време и за който има повече информация в тази тема.

 

Решение на този проблем?

До сега нямаше официална кръпка, която да отстранява този проблем напълно, и трябваше да се прилагат временни решения, които да издържат, докато излезе официалното решение. То за щастие е вече факт. Днес, 2 август, вече имаме официално обновление от Microsoft, което да елиминира уязвимостта. Прясно и парещо е още от "пещта", докато пиша това.

Обикновено от Microsoft пускат всички обновления за даден месец втория вторник от съответния месец. За текущото обновление обаче се прави изключение и то се пуска самостоятелно и извънредно, защото е прекалено важно.

Официалният бюлетин се намира тук: Microsoft Security Bulletin Summary for August 2010

 

Обновлението носи номер KB2286198.

 

Ако използвате автоматичните обновления, трябва вече да сте го получили или да го получите скоро.

Ако сканирате за обновления ръчно посредством Windows Update или Microsoft Baseline Security Analyzer, трябва също да го видите измежду нужните за инсталиране кръпки.

Ако не използвате нито един от гореописаните методи за снабдяване с обновления, можете да го изтеглите ръчно от линковете по-долу. Изтеглете кръпката, която отговаря на вашата операционна система. То е логично, но аз да си го спомена изрично. За удобство качвам въпросните файлове на сървъра на SoftVisia, ако свалянето от официалния сървър на Microsoft е бавно.

 

Ако вече сте инсталирали Windows Shortcut Exploit Protection Tool на Sophos, просто го деинсталирайте от аплета за деинсталиране на програми в контролния панел и си инсталирайте съответното обновление.

 

Windows XP

Windows XP без Service Pack или със Service Pack 1 или 2 - не е налично обновление (повече информация има по-надолу)

Windows XP Service Pack 3 | SoftVisia Mirror (2.9 MB)

Windows XP Professional x64 Edition Service Pack 2 | SoftVisia Mirror (11.7 MB)

 

Windows Server 2003

Windows Server 2003 Service Pack 2 | SoftVisia Mirror (2.9 MB)

Windows Server 2003 x64 Edition Service Pack 2 | SoftVisia Mirror (11.7 MB)

Windows Server 2003 със SP2 за Itanium-базирани системи | SoftVisia Mirror (13.4 MB)

 

Windows Vista

Windows Vista Service Pack 1/2 | SoftVisia Mirror (4.25 MB)

Windows Vista x64 Edition Service Pack 1/2 | SoftVisia Mirror (6.7 MB)

 

Windows Server 2008

Windows Server 2008 за 32-битови системи (вкл. Service Pack 2) | SoftVisia Mirror (4.25 MB)

Windows Server 2008 за 64-битови системи (вкл. Service Pack 2) | SoftVisia Mirror (6.7 MB)

Windows Server 2008 за Itanium-базирани системи (вкл. Service Pack 2) | SoftVisia Mirror (8 MB)

 

Windows 7

Windows 7 за 32-битови системи | SoftVisia Mirror (4.44 MB)

Windows 7 със Service Pack 1 Beta за 32-битови системи | SoftVisia Mirror (4.37 MB)

Windows 7 за 64-битови системи | SoftVisia Mirror (6.74 MB)

Windows 7 със Service Pack 1 Beta за 64-битови системи | SoftVisia Mirror (6.54 MB)

 

Windows Server 2008 R2

Windows Server 2008 R2 за x64-базирани системи | SoftVisia Mirror (6.74 MB)

Windows Server 2008 R2 за Itanium-базирани системи | SoftVisia Mirror (17.1 MB)

 

Ама, за мен няма обновление... Ами сега?!

Сега специална секция за онези от вас, които по някакви причини още стоят със Service Pack 2 (или по-стара версия) за Windows XP или ползват Windows 2000. За вас няма обновление. Microsoft прекрати поддръжката на тези версии и за тях такава кръпка няма и няма и да има. Пред вас стоят два варианта:

1) да преминете на Windows XP Service Pack 3, след което да си инсталирате обновлението за нея;

2) да използвате инструмента на британската компания софтуер за сигурност Sophos: Windows Shortcut Exploit Protection Tool. Инструментът не изисква допълнителни системни ресурси, защото няма резидентни процеси. Не изисква и някаква допълнителна намеса. При засичане на зловредна препратка ще я блокира и ще ви уведоми.

Силно препоръчвам първия вариант, защото е много по-пълноценно и надеждно решение, докато инструментът на Sophos беше предвиден като временно решение, докато се появи кръпка от Microsoft. А и без това е крайно време да обновите сервизния пакет от 2 на 3. Сервизните пакети са от критична важност за сигурността на всяка система и винаги трябва да са актуални версии.

 

По адрес на чий роднини да си отправям "поздравите"?

Макар логичният обект за проклинане да е именно Microsoft, компанията далеч не е единствената отговорна за тази каша и периодът, в който нямаше кръпка и авторите на зловреден код се развихриха и започнаха да се възползват от нея. Да, Microsoft има вина, защото все пак става въпрос за нейната операционна система. И все пак има и друг виновник и той е Тавийс Орманди. Това е британският студент, който е открил уязвимостта. Проблемът в случая обаче е подходът му. Тавийс е докладвал на Microsoft за откритата уязвимост в събота и е искал да бъде изготвена кръпка в следващите 60 дни. Следващия вторник (т.е. 3 дни по-късно) от Microsoft казват на Тавийс, че ще му дадат по-конкретни срокове в петък (т.е. още 3 дни по-късно). Тавийс не дочаква петък и още на следващия ден излиза с публична информация за уязвимостта + демонстрационен вариант на експлойт за нея. Крайно неетична постъпка от страна на г-н Орманди. Абсолютно нередно е да се публикува публично информация за толкова потенциално опасна уязвимост толкова скоро след уведомяването на автора на продукта. Особено след като става въпрос за нещо сложно като операционна система.

Иначе казано: вината на Microsoft в случая е, че е допуснала тази уязвимост в операционната система (макар уязвимости да има в почти всеки продукт и това е нормално, защото перфектен програмен код не съществува). Вината на Тавийс е, че е пренебрегнал всякакви общоприети норми за действане в такива ситуации и е решил да си обяви всичко публично, без да даде шанс проблемът да бъде решен без много шум, за да няма епидемия на гадинки, възползващи се от тази уязвимост. Дори и на г-н Орманди да не му е харесал отговорът на Microsoft, че ще му дадат точни срокове 3 дни по-късно, защото той е настоявал още в самото начало срокът да е 60 дни, това не оправдава постъпката му. Дори и да приемем, че в действията му е имало някаква логика, то от това са пострадали доста невинни потребители.

 

 

Night_Raven

SoftVisia.com

Link to comment
Сподели другаде

Night_Raven

 

Може би от компанията ще пуснат обновена версия скоро сдобавена поддръжка на още операционни системи и защита срещу .pif файлове.

 

 

Ако HIPS програмата следи за изпълнение на файлове с разширение .pif ще може ли да блокира зловредния код ?

Link to comment
Сподели другаде

Не, защото препратките реално не се стартират. Стартират се изпълнимите дайлове, към които те препращат. Ако имаш препратка към calc.exe, реално стартираш точно него файл, а не препратката. По мои впечатления HIPS програмите могат да се справят с това, ако им бъде указано да следят какви библиотеки (DLL) се зареждат от explorer.exe и rundll.exe. Не всички програми могат да следят за това, а тези, които могат, по подразбиране позволяват зареждането на библиотеки от всички изпълними файлове, защото иначе би имало много повече съобщения и доста потребители биха се изнервили от тях, а и по принцип останалите нападателни вектори са достатъчни в почти всички случаи за спиране на дадена гадинка, та не се налага да се прибягва до чак толкова крайни мерки. Особено ако става въпрос за следене на всички изъплними файлове какви библиотеки зареждат. В случая обаче уязвимостта засяга конкретно explorer.exe и rundll.exe, та затова е достатъчно само те да се следят какви DLL файлове зареждат. То пак ще има доста съобщения, дори и само за тези два файла.

 

Можеш да настроиш HIPS програмата да следи за създаването на .lnk и .pif файлове. Това е друг метод за потенциална защита.

Link to comment
Сподели другаде

Night_Raven

 

Можеш да настроиш HIPS програмата да следи за създаването на .lnk и .pif файлове. Това е друг метод за потенциална защита.

 

 

Как да го настроя да следи за създаване на .lnk и .pif файлове  ?

 

 

Link to comment
Сподели другаде

Не. Не четеш ли? Вече ти казах, че реално се стартират изпълнимите файлове, към които водят тези препратки. Имах предвид HIPS програмата да следи за създаване на този тип файлове. Т.е. ако даден процес иска да създаде .lnk файл някъде на твърдия диск. Не знам как по-ясно да го обясня. Всеки трябва да е наясно какво означава "създаване на файл". Разбира се това в никакъв случай не е пълна защита, защото например ако попаднеш на заразена flash памет, те файловете ще си бъдат вече създадени там. Просто е допълнително подсигуряване.
Link to comment
Сподели другаде

Важно:

 

Утре, 2 август (понеделник), ще бъде пуснато обновление, което да елиминира уязвимостта в Windows. Кръпката трябва да е достъпна за сваляне към 19 часа българско време. Microsoft обикновено пуска всички обновления за даден месец втория вторник от месеца, но за текущата уязвимост се прави изключение и обновлението ще бъде пуснато извънредно.

Link to comment
Сподели другаде

Супер :cap: Сега вече мога да си зяпам колекцията от преки пътища без да ми треперят гащите. БТВ в това смайли :

=====

:blush:

съм вкарал зловреден код не го гледайте то само се прави, че го е срам ама всъщност вобще не го е срам.

 

П.С. Аз казах ли да не го гледаш бе!

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...