Защита Microsoft снова взломана:

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 19 апр 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    их - в дверь, они - в окно


    В декабре минувшего года разработчики Microsoft, в ответ на выложенный на всеобщее обозрение эксплоит, который эксплуатировал уязвимость в FTP-сервере IIS, сообщили пользователям, что угроза не является серьёзной, т.к. худшие ее последствия – падение самого приложения.

    Руководитель программы по безопасности IIS Назим Лала отметил в своём блоге такую положительную черту новых ОС, как меры предупреждения угроз и минимизация их последствий - у хакеров не было возможности управлять данными, которые были перезаписаны в оперативной памяти. Это стало ещё одной победой основательного подхода компании Microsoft к разработке кода, многочисленные уровни защиты сделали систему менее уязвимой к атакам хакеров.

    Однако выяснилось, что победа немного омрачена. "Белые" хакеры Крис Валасек и Райан Смит, сотрудники компании Accuvant Labs, опубликовали скриншоты, доказывающие, что у них не возникло никаких проблем при доступе к частям памяти компьютера, защищенных системой под названием Heap-exploitation mitigation, которая должна была противостоять этому. Преодолев это препятствие, они показали, что ошибка в IIS оказалась намного серьёзнее, чем предполагал первоначальный анализ Microsoft.

    До настоящего момента их методика, с помощью которой можно обойти защиту кучи, была неизвестна никому, кроме узкого круга разработчиков. В субботу Валасек и Смит, последний является главным исследователем компании Accuvant, поделились секретом на конференции по безопасности, которая проходила в Майами Бич.

    Функция минимизации последствий взлома динамически распределяемой памяти дебютировала во втором пакете обновлений Windows XP, и позже была усовершенствована в последующих ОС. Она вычисляет участки памяти, которые были повреждены при переполнении кучи, и завершает основной процесс. Эта технология являлась важным нововведением для Microsoft. Фактически за ночь целая группа уязвимостей, которая позволяла хакерам получить полный контроль над операционной системой, была устранена.

    При работе с новыми ОС, взломщики не сумеют сделать ничего больше, как обрушить приложение, содержащее ошибку.

    Валасек и Смит смогли обойти защиту, потому что Microsoft переработала конструкцию кучи, а также включила новую систему - LFH, или low fragmentation heap, которая должна была повысить скорость и улучшить качество работы, выявляя для приложений свободные места в памяти. И по причинам, которые всё ещё остаются неясными, новая система не применяет функцию минимизации последствий переполнения кучи (Heap-exploitation mitigation).

    "Они открыли новую дорогу для хакеров, отличное начинание для взломщиков и плохое для конечных пользователях", - заметил Смит. "Закрыли заднюю дверь, но открыли окно".

    Функция LFH не включена по умолчанию, и взломщикам часто нужно прикладывать много усилий, чтобы активизировать её. В случае с уязвимостью в IIS в декабре, они включили её с помощью запуска определённых образом сформированных команд FTP. С помощью этого довольно необычного способа у них не возникло никаких проблем при управлении памятью на заранее выбранном компьютере.

    Валасек и Смит быстро выявили, что обход защиты требует сравнительно больше усилий и умений со стороны хакера. Пять-десять лет назад хакерам-разработчикам зачастую можно было повторно использовать огромное количество кода при написании нового эксплоита. В этом случае так сделать не получится.

    "В отличие от других техник взлома прошлых лет, приходится знать всё об исходной ОС и приложении, активизирующим LFH, а также как использовать их в своих целях", - сказал Валасек. "Ты не можешь действовать вслепую".

    Это напоминает о характере работы в сфере системной безопасности, где идёт постоянная "гонка вооружений" - разработка ПО против шпионского ПО, в которой "черные" хакеры постоянно обходят новые средства защиты, разработанные "белыми" хакерами, в которой приходится непрерывно совершенствовать старые и создавать новые способы системной защиты. В такой же "гонке вооружения" хакеры обнаружили способы обойти другие механизмы системной защиты: технологию JIT spray для взлома ASLR и возвратно-ориентированное программирование против DEP.

    Всё таки, по словам разработчиков, меры по защите и минимизации последствий взлома на сегодняшний день являются неизбежной частью разработки ПО.

    "Даже такие меры по предупреждению угроз, которые могут защитить конечного пользователя, но не в состоянии гарантировать компаниям, что им не придётся патчить свои приложения, уже хороши, потому что это усложняет работу хакеров", - говорит Смит. "Это позволяет выиграть время".



    источник
     

Поделиться этой страницей