Корпорация Microsoft выпустила несколько дней назад бюллетень, в котором указывается на недавно обнаруженную уязвимость (CVE-2013-3906) в нескольких флагманских разработках компании, а также сообщается о выявлении эксплойтов для неё. Злоумышленники уже используют их для таргетированных атак. Это плохая новость. Хорошая новость состоит в том, что наша технология автоматического блокирования эксплойтов (Automatic Exploit Prevention) функционирует исправно, и новые эксплойты нулевого дня против неё бессильны.
Пока что реальные инциденты имели место только в Юго-Восточной Азии, однако это совершенно не означает, что что-то подобное не может случиться где-то ещё.
Сама по себе уязвимость, допускающая удалённый запуск произвольного кода, выявлена в кодеке для обработки изображений формата TIFF, поставляемом вместе с Microsoft Office/Microsoft Word. Обнаруженные на данный момент эксплойты применяют метод Heap-Spray, записывая свой код по адресу 0x08080808 в «кучу» (Heap) — область динамической памяти приложения. Наши специалисты уже провели исследование известных эксплойтов; с их техническим описанием можно ознакомиться здесь.
В принципе, степень опасности любой уязвимости определяется четырьмя факторами: распространённостью программ, простотой эксплуатации уязвимости (или существования эксплойтов «in the wild»), возможными последствиями атаки и наличием готовых к принятию контрмер.
В данной ситуации мы имеем дело с критической уязвимостью в программных пакетах, чью распространённость переоценить сложно: Microsoft Windows, Microsoft Office и Microsoft Lync в придачу. Правда, уязвимость затрагивает не все версии этих пакетов. Из бюллетеня Microsoft довольно сложно понять, какие именно комбинации опасны, но «головоломку» расшифровали в InfoWorld: Word 2003 и 2007 уязвимы под всеми версиями Windows, начиная с XP и заканчивая Windows 8.1. Word 2010 уязвим под Windows XP и Windows Server 2003, но не под Windows Vista, Windows 7 и Windows 8/8.1. Наконец, Word 2013 эта проблема не затрагивает вовсе.
В бюллетене Microsoft указывается, что с помощью известных на сегодняшний день эксплойтов произведены успешные атаки на Microsoft Office 2007, установленный под Windows XP SP 3. Данной операционной системе в этом году исполнилось 12 лет, но её до сих пор активно используют (на радость многочисленным злоумышленникам, которые прекрасно знают, что данная система весьма уязвима).
Для осуществления атаки достаточно, чтобы потенциальная жертва открыла специально подготовленное почтовое сообщение с вмонтированным TIFF-изображением. В этом, пожалуй, и заключается главная опасность: злоумышленникам не нужно, в общем-то, тратить силы на какие-то сложные трюки, пытаться с помощью социального инжиниринга заставить, например, пользователя открыть вложение. Достаточно, чтобы он просто открыл письмо.
Возможные последствия атаки весьма серьёзны: злоумышленник получает те же привилегии в системе, что и пользователь. Соответственно, больше всего могут пострадать те, кто использует систему с администраторскими полномочиями постоянно. Большинство пользователей Windows XP именно так всегда и делали (и, вероятно, делают), хотя это и является прямым нарушением основ техники безопасности.
Что же касается контрмер, то здесь Microsoft порадовать нас нечем: доступна лишь Fixit-утилита, которая просто отключает обработку TIFF под Windows. Полноценный патч будет опубликован вместе с очередным комплектом обновлений, вероятно, до конца месяца.
Пока же защититься от этой угрозы можно с помощью нашей технологии Automatic Exploit Prevention. В основе AEP лежит анализ поведения эксплойтов и данных о приложениях, наиболее часто подвергавшихся нападениям злоумышленников, в числе которых Adobe Acrobat, Java, компоненты Windows, Internet Explorer, ну и Microsoft Office тоже.
Каждый раз, когда эти программы пытаются запустить подозрительный код, специальные элементы управления немедленно вмешиваются, прерывают запуск и включают сканирование системы.
Ещё один слой защиты обеспечивает использование технологии Address Space Layout Randomization, которая обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование некоторых уязвимостей.
Эта технология сама по себе используется в Windows, начиная с Vista, однако в Windows XP она отсутствует. При использовании Automatic Exploit Prevention рандомизация адресного пространства производится принудительно, в том числе и в среде Windows XP.
Как указано выше, отмеченные к настоящему моменту успешные атаки как раз и были направлены на Word 2007 под Windows XP.
Все известные на данный момент атаки с использованием этой уязвимости имели сугубо адресный характер. Это, однако, никак не означает снижения уровня потенциальной угрозы. Уязвимость однозначно относится к разряду критических, а эксплойты — к классу 0day (по крайней мере, до тех пор, пока не выйдут соответствующие патчи от Microsoft), и сбрасывать со счетов это обстоятельство не стоит.