Cztery luki typu Zero-day w jednym dniu. Microsoftowi nie wystarczyło pół roku, by naprawić Internet Explorera

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Używasz Internet Explorera? Lepiej przestań, chyba że trzymasz go w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowi nie wystarczyło siedmiu miesięcy na załatanie czterech krytycznych luk, jakie przedstawili mu członkowie Zero Day Initiative z HP. Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point, jeśli producent oprogramowania w ciągu czterech miesięcy od przedstawienia mu informacji o lukach nie wyda łatek, informacje o zagrożeniu zostają upublicznione, choć możliwe jest uzyskanie wydłużenia tego okresu ciszy.

Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziś luki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie z uprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osób pracujących na kontach z uprawnieniami administratora oznacza to w praktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystujący kod JavaScriptu na spreparowanej stronie internetowej, może zamienić w ten sposób komputer w zombie, kontrolowane przez operatora botnetu i wykorzystywane np. do rozsyłania spamu czy ataków DDoS na inne komputery. Oczywiście tak samo napastnik może wydobyć z zaatakowanego komputera wrażliwe informacje, np. hasła do witryn i usług, z których korzysta ofiara.

Członkowie ZDI nie ujawnili, czy napotkali już w Sieci zagrożenia wykorzystujące odkryte przez nich luki, zapewniają jedynie, że klienci HP korzystający z filtrów Tipping Point IPS Digital Vaccine nie mają się czego obawiać. To jednak w praktyce tylko pracownicy niektórych korporacji. Dla pozostałych użytkowników Internet Explorera najlepszym rozwiązaniem pozostaje przynajmniej chwilowe przełączenie się na Firefoksa, Chrome czy inną przeglądarkę.

Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359, wiąże się z przetwarzaniem tablic przedstawiających komórki tabel HTML. Manipulując elementami dokumentu można wymusić we wszystkich wersjach Internet Explorera błąd pamięci, za sprawą którego możliwe staje się uruchomienie własnego kodu w kontekście aktualnego procesu. Druga luka to ZDI-15-360, w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typu use-after-free na zwisający wskaźnik (czyli nie będący identyfikatorem aktualnie przechowywanego obiektu) możliwe się staje uruchomienie własnego kodu w kontekście aktualnego procesu. Na tym samym polegają ataki opisane w ZDI-15-361 (mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362 (dotyczy obiektu CTreePos).

Badacze z HP podkreślają, że luki zostały przedstawione Microsoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcu Microsoft poprosił o przedłużenie terminu ujawnienia luk do 19 lipca br. Na początku lipca ZDI zapytało się o stan prac nad łatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnego konkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnej łatki, informacje o zagrożeniach zostały publicznie udostępnione. Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, w którym firmy pokroju Hacking Teamu oferują rozmaitym instytucjom państwowym narzędzia do atakowania komputerów osób prywatnych, firm i organizacji to nie jest coś, co można byłoby tolerować. Pozostaje mieć nadzieję, że w najbliższych dniach Redmond pozaplanowo wyda niezbędne łatki do Internet Explorera.