Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playera

Zarówno Microsoft, jak i niezależni eksperci od bezpieczeństwa ITostrzegają: od kilku dni w Sieci można natrafić na niebezpiecznyexploit, wykorzystujący nieznaną wcześniej lukę w Windows i Office dozdalnej instalacji złośliwego oprogramowania na komputerach ofiar.Jak na razie na celowniku cyberprzestępców są przede wszystkimorganizacje z Azji Południowo-wschodniej i Bliskiego Wschodu, alepojawiają się też pierwsze doniesienia o atakach w Europie i AmerycePółnocnej.Wektorem ataku jest spreparowany plik .doc, rozsyłany jakozałącznik w e-mailach. Jeśli zostanie on otwarty do edycji lubpodglądu, próbuje wykorzystać błąd w obsłudze plików TIFF, abyuruchomić swój ładunek z uprawnieniami zaatakowanego użytkownika.Błąd ten, występujący w komponencie GDIWindows, można wykorzystać w pakietach biurowych od Office 2003 doOffice 2010, oraz we wszystkich wspieranych wersjach komunikatoraLync. Użytkownicy Office 2010 korzystający z tego pakietu na nowszychwersjach Windows (od 7 do 8.1) są jednak bezpieczni – dziękizmianom w sposobie komunikacji z GDI, exploit w tym scenariuszu niedziała.[img=klodka]Exploit jest wart uwagi choćby ze względu na jego poziomtechnicznego zaawansowania. Elia Florio z Microsoft Security ResponseCenter wyjaśnia,że twórcom exploita udało się ominąć sprytnie systemowezabezpieczenia DEP (Data Execution Prevention) i ASLR (Adress SpaceLayout Randomization). Kod ataku przeprowadza na dużą skalęrozpylanie na stercie za pomocą kontrolek ActiveX, wykorzystującstworzone za pomocą techniki ROP (Return-Oriented Programming)gadżety, by zaalokować wykonywalne strony. ROP jest jedną z najciekawszych metod na uruchomienie obcego koduw warunkach aktywnych zabezpieczeń systemowych, jakie do tej poryopracowano. Napastnik stara się w niej przejąć kontrolę nad stosemwywołań, aby zmodyfikować przepływ sterowania działającej jużaplikacji, a następnie uruchamiać znalezione w niej sekwencje kodumaszynowego zwane właśnie gadżetami,umieszczane zwykle w podprocedurach współdzielonych bibliotek. Każdytaki gadżet kończy się instrukcją powrotu (stąd nazwa), tak więcnapastnik stara się uruchamiać je w określonej kolejności, bydynamicznie „zmontować” z gadżetów pożądany wrogi kod.Dziś cały ten proces jest w wysokim stopniu zautomatyzowany, istniejąnarzędzia przeszukujące pliki binarne pod kątem gadżetów, a jaktwierdzi badacz Hovav Schacham, dla pliku binarnego o odpowiednichrozmiarach istnieje dość gadżetów, by zapewnić tworzonemu w tensposób kodowi kompletnośćTuringa (czyli w praktyce pozwolić na uruchomienie dowolnegokodu). Przykład takiego ataku, stworzonego za pomocą automatycznegogeneratora gadżetów ROPgadget, możecie obejrzeć na poniższym wideo:[yt=http://www.youtube.com/watch?v=a8_fDdWB2-M]Haifei Li z McAfee, który jakopierwszy poinformował Microsoft o luce w obsłudze plików TIFF,twierdzi,że do tej pory takich ataków, wykorzystujących obiekty ActiveX, nażywo nie widziano. Do tej pory napastnicy korzystali zwykle z FlashPlayera – jednak wprowadzenie przez Adobe mechanizmuclick-to-play sprawiło, że zmuszeni zostali oni poszukać nowegosposobu. Można się spodziewać, że w przyszłości będzie on stosowanycoraz częściej, szczególnie w atakach wymierzonych w środowiskakorporacyjne, gdzie kombinacje starszych wersji Windows ze starszymiwersjami Office czy komunikatora Lync jest niemal równie częstospotykana, co np. Internet Explorer z Flash Playerem.Na razie łatki, eliminującejwspomniane zagrożenie, jeszcze nie ma. Szczęśliwie jednak Microsoftprzedstawił jednak sposóbna uchronienie się przed atakiem – blokuje on renderowanieobrazków TIFF. W warunkach korporacyjnych pomóc może teżzainstalowanie zestawu narzędzi rozszerzonego środowiskaograniczającego ryzyko (EMET).