Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

27.08.2010 10:55 | houseboy

Microsoft ответила на сообщения о возможных zero-day атаках на Windows-приложения, выпустив инструмент, который будет блокировать все известные эксплоиты с использованием DLL-уязвимости. Однако, компания отказалась подтвердить данные о том, что ее собственные приложения уязвимы, заявив лишь, что в настоящее время компания изучает собственное программное обеспечение на наличие уязвимостей.

Рекомендации по безопасности от Microsoft, появившиеся на этой неделе, стали реакцией на волну возмущений общественности из-за того, что разработчики оставили большое количество Windows-приложений открытыми для атак.

Многие приложения в Windows не вызывают библиотеки кода, называемые "динамическими библиотеками" (или DLL), используя полный путь к библиотеке. Вместо этого они используют лишь имя файла, обеспечивая хакерам простор для маневра. Преступники могут использовать эту уязвимость, вынуждая пользователя загрузить вредоносный файл с тем же именем, что и у необходимой DLL. Результатом этого станет взлом ПК и/или заражение вредоносным ПО.

Эйчди Мур (HD Moore), директор по безопасности в компании Rapid7 и создатель инструментария Metasploit, был первым, кто выявил потенциальные атаки и заявил, что ему удалось найти 40 уязвимых приложений в Windows. За Муром последовали и другие, которые утверждали, что нашли большое количество уязвимых программ - от 30 до 200. Microsoft, со своей стороны, сообщает, что проблема кроется не в Windows.

"Мы говорим не об уязвимости в продукте Microsoft" - сказал Кристофер Бадд (Christopher Budd), старший менеджер по связи с общественностью MSRC (абб. от Microsoft Security Response Center). "Подобные атаки вынуждают приложение загружать небезопасные библиотеки".

Из-за того, что виноваты разработчики приложений, а не Windows, компания Microsoft не может пропатчить операционную систему без нанесения вреда большому числу приложений. Вместо этого Microsoft вместе со сторонними разработчиками должны разобраться, какие из их программ уязвимы и выпустить патчи для каждого приложения в отдельности.

Чтобы защититься от атак, Microsoft, как и ожидалось, выпустила инструмент, который блокирует загрузку библиотек из удаленных каталогов, таких как USB-диски, веб-сайты и сети организаций.

"Этот инструмент ограничивает загрузку удаленных библиотек"- сказал Бадд. Его можно загрузить уже сейчас.

Инструмент Microsoft больше предназначен для организаций, нежели пользователей, сказал Бадд, поэтому он не загружается автоматически через службу автоматического обновления.

В своем руководстве Microsoft перечислила и другие способы защиты компьютеров пользователей, в том числе способ блокировки исходящего SMB (сетевой протокол для удалённого доступа к файлам) в брандмауэре Windows и отключения встроенного веб-клиента. Мур, к слову сказать, также порекомендовал пользователям выполнить эти действия, чтобы не допустить атак.

Бадд также говорит, что описанные Муром угрозы представляют собой новый вектор атаки, что противоречит мнению некоторых секьюрити-специалистов.

"Проблема была известна еще с 2000 года, я говорил об этом в 2006 году" - пишет израильский исследователь Авив Рафф (Aviv Raff) в своем твиттере. Авив обнаружил баг при загрузке DLL в Internet Explorer 7 (IE7) еще в декабре 2006 года. Microsoft тянула время аж до апреля 2009 года, пока, наконец, данная уязвимость не была устранена.

Представитель Microsoft отказался сказать, есть ли уязвимости в собственных приложениях компании. "Мы постоянно исследуем и проверяем собственные приложения" - сказал Бадд. "Если мы обнаружим уязвимости, мы будем их устранять".

Бадд сказал, что в Microsoft не сразу узнали о DLL-уязвимостях, по крайней мере, никаких сообщений об этом не было с августа 2009 года, когда в компанию обратился исследователь из Калифорнийского университета Тайхо Квон (Taeho Кwon). Бадд сказал, что Microsoft работает над возникшей проблемой в течении последних нескольких недель. Если сроки, указанные Баддом, являются точными, неспособность Microsoft назвать, какие из их продуктов уязвимы, кажется особенно странной.

Команда MSRC опубликовала в своем блоге некоторую техническую информацию о векторе атак и работе инструмента блокировки.


Источник: http://www.computerworld.com
Перевод: houseboy

Комментарии

Не в сети

Поставил этот инструмент - и плакали моды для GTA 4

27.08.10 11:27
0
Не в сети

А если поставить параметр CWDIllegalInDllSearch в 0 в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GTAIV.exe ? Сам не пробовал, но предполагаю, что может помочь

27.08.10 12:29
0
Не в сети

Лично я пользовался этой возможностью (подменой системных библиотек) для своих нужд (не вирусов и т.п.) года с 2005-го. Известно о ней с момента появления Windows - чё там думать-то. В PE-файле в секции импорта прописаны используемые функции и имена библиотек. Без каких-либо путей. Windows сначала ищет библиотеку по имени файла в папке приложения, потом в путях, потом в системных папках.
Усложнили подмену системных DLL - можно поискать собственные библиотеки приложения в его папке, переименовать, свою назвать так же - результат тот же. Вот вам ещё одна "уязвимость".
А в приложениях библиотеки действительно надо грузить динамически по полному пути. Да подпись проверять, чтоб совсем уж надёжно.
Я в своих подменёных dll-ках так и делал - вызывал системные по полному пути. Правда, в разных версиях ОС эти пути разные, так что это, всё таки, не совсем корректно - совместимость ухудшается. Нужно проверять версию Windows и в зависимости от неё выбирать путь к системных папкам с библиотеками. А вдруг в будущих версиях ОС они изменятся? Надёжнее, когда библиотеки автоматически грузит PE-загрузчик Windows.

27.08.10 12:40
0
Не в сети

izstas, дык я не про себя, а в принципе У меня модов на GTA IV уже давно не стояло.

27.08.10 22:51
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.028 секунд (Общее время SQL: 0.014 секунд - SQL запросов: 61 - Среднее время SQL: 0.00023 секунд))
Top.Mail.Ru