Tego exploita można było użyć jeszcze w Windows 95. Lukę załatano po 18 latach

Ta podatność będzie się jeszcze długo śniła po nocach specjalistomod bezpieczeństwa w Microsofcie. Od 18 lat w systemach operacyjnych zRedmond tkwi luka, pozwalająca na zdalne przejęcie atakowanegokomputera, nawet jeśli jest na nim uruchomiony zestaw narzędzirozszerzonego środowiska ograniczającego ryzyko (EMET).

Problemy z bezpieczeństwem mają ostatnio wszystkie systemyoperacyjne – wystarczy wspomnieć Heartbleed w Linuksie czy Gotofail w OS X i iOS. Luka odkryta przez Roberta Freemana z zespołu IBMX-Force przyćmiewa jednak tamte przede wszystkim długowiecznością.Wykorzystać ją do ataku można było już w Windows 95. Od tamtego czasuwystępuje we wszystkich wersjach „okienek”, by w końcuotrzymać oznaczenie CVE-2014-6332 i ocenę 9,3 w dziesięciostopniowejskali zagrożeń CVSS.

Freeman zaliczył swoje odkrycie do kategorii „jednorożców”– złożonych, unikatowych błędów, które pozwalają napastnikomuruchomić zdalnie dowolny kod na komputerze ofiary. Błędny kod trafiłbardzo dawno temu do biblioteki OleAut32, ale wyexploitowanie gostało się możliwe dopiero wraz z wprowadzeniem obsługi VBScriptu doInternet Explorera 3 działającego w Windows 95. Od tamtego czasu błądw bibliotece, poprawianej dziesiątki razy pod kątem innych luk, miałbyć widoczny jak na dłoni – a jednak nikt z whitehatów go dotąd niedostrzegł.

Jak wyjaśnia odkrywca, problem dotyczy konstrukcji elementówtablic w VBScripcie. Każdy z nich ma rozmiar 16 bajtów, w normalnychwarunkach programista ma dostęp do 8 bajtów, reszta określa typelementu. VBScript pozwala na zmianę rozmiarów tablicy, przekazującto zadanie do bliblioteki OleAut32. Jeśli w trakcie tej operacjidojdzie do błędu, rozmiar tablicy nie jest resetowany przed powrotemdo wywołującej funkcji. Pozwala to napastnikowi na odzyskaniekontroli nad wykonywaniem skryptu i dalsze wykorzystywanie„zepsutych” obiektów.

Z takimi możliwościami manipulowania pamięcią, tworzenia dowolnychwskaźników i odczytywania dowolnych obszarów pamięci, napastnikzyskuje możliwość obejścia zabezpieczeń w rodzaju DEP (Data ExecutionPrevention) bez stosowania shellcodu czy konstruowania kodu zgadżetów Return Objected Programming. Jak to zrobić, Freemanszczegółowo opisujew swoim artykule na łamach serwisu Security Intelligence.

Szczęśliwie dla użytkowników Windows, ta groźna luka jest jużzałatana. Badacz skontaktował się z Microsoftem w maju tego roku, aodpowiednie poprawki opublikowanow ramach listopadowych biuletynów bezpieczeństwa. Zalecamy więc jaknajszybszą aktualizację Windows. Oczywiście użytkownicy starego XPpoprawki już nie dostaną.

Nie była to zresztą jedyna groźna podatność, której Microsoftpozbył się w tym miesiącu. Na zdalny atak pozwalał także błąd wpakiecie Microsoft Secure Channel (schannel).Związany był z błędnym filtrowaniem pakietów. Odpowiedniospreparowany pakiet pozwalał napastnikowi na wykonanie dowolnego koduw Windows, nasłuchującym na portach TCP.