Microsoft выпустила инструмент блокировки DLL-уязвимостей

Microsoft ответила на сообщения о возможных zero-day атаках на Windows-приложения, выпустив инструмент, который будет блокировать все известные эксплоиты с использованием DLL-уязвимости. Однако, компания отказалась подтвердить данные о том, что ее собственные приложения уязвимы, заявив лишь, что в настоящее время компания изучает собственное программное обеспечение на наличие уязвимостей.

Рекомендации по безопасности от Microsoft, появившиеся на этой неделе, стали реакцией на волну возмущений общественности из-за того, что разработчики оставили большое количество Windows-приложений открытыми для атак.

Многие приложения в Windows не вызывают библиотеки кода, называемые "динамическими библиотеками" (или DLL), используя полный путь к библиотеке. Вместо этого они используют лишь имя файла, обеспечивая хакерам простор для маневра. Преступники могут использовать эту уязвимость, вынуждая пользователя загрузить вредоносный файл с тем же именем, что и у необходимой DLL. Результатом этого станет взлом ПК и/или заражение вредоносным ПО.

Эйчди Мур (HD Moore), директор по безопасности в компании Rapid7 и создатель инструментария Metasploit, был первым, кто выявил потенциальные атаки и заявил, что ему удалось найти 40 уязвимых приложений в Windows. За Муром последовали и другие, которые утверждали, что нашли большое количество уязвимых программ - от 30 до 200. Microsoft, со своей стороны, сообщает, что проблема кроется не в Windows.

"Мы говорим не об уязвимости в продукте Microsoft" - сказал Кристофер Бадд (Christopher Budd), старший менеджер по связи с общественностью MSRC (абб. от Microsoft Security Response Center). "Подобные атаки вынуждают приложение загружать небезопасные библиотеки".

Из-за того, что виноваты разработчики приложений, а не Windows, компания Microsoft не может пропатчить операционную систему без нанесения вреда большому числу приложений. Вместо этого Microsoft вместе со сторонними разработчиками должны разобраться, какие из их программ уязвимы и выпустить патчи для каждого приложения в отдельности.

Чтобы защититься от атак, Microsoft, как и ожидалось, выпустила инструмент, который блокирует загрузку библиотек из удаленных каталогов, таких как USB-диски, веб-сайты и сети организаций.

"Этот инструмент ограничивает загрузку удаленных библиотек"- сказал Бадд. Его можно загрузить уже сейчас.

Инструмент Microsoft больше предназначен для организаций, нежели пользователей, сказал Бадд, поэтому он не загружается автоматически через службу автоматического обновления.

В своем руководстве Microsoft перечислила и другие способы защиты компьютеров пользователей, в том числе способ блокировки исходящего SMB (сетевой протокол для удалённого доступа к файлам) в брандмауэре Windows и отключения встроенного веб-клиента. Мур, к слову сказать, также порекомендовал пользователям выполнить эти действия, чтобы не допустить атак.

Бадд также говорит, что описанные Муром угрозы представляют собой новый вектор атаки, что противоречит мнению некоторых секьюрити-специалистов.

"Проблема была известна еще с 2000 года, я говорил об этом в 2006 году" - пишет израильский исследователь Авив Рафф (Aviv Raff) в своем твиттере. Авив обнаружил баг при загрузке DLL в Internet Explorer 7 (IE7) еще в декабре 2006 года. Microsoft тянула время аж до апреля 2009 года, пока, наконец, данная уязвимость не была устранена.

Представитель Microsoft отказался сказать, есть ли уязвимости в собственных приложениях компании. "Мы постоянно исследуем и проверяем собственные приложения" - сказал Бадд. "Если мы обнаружим уязвимости, мы будем их устранять".

Бадд сказал, что в Microsoft не сразу узнали о DLL-уязвимостях, по крайней мере, никаких сообщений об этом не было с августа 2009 года, когда в компанию обратился исследователь из Калифорнийского университета Тайхо Квон (Taeho Кwon). Бадд сказал, что Microsoft работает над возникшей проблемой в течении последних нескольких недель. Если сроки, указанные Баддом, являются точными, неспособность Microsoft назвать, какие из их продуктов уязвимы, кажется особенно странной.

Команда MSRC опубликовала в своем блоге некоторую техническую информацию о векторе атак и работе инструмента блокировки.


Источник: http://www.computerworld.com
Перевод: houseboy