Как бороться с уязвимостями нулевого дня с помощью газет

Microsoft недавно заделала уязвимость нулевого дня в своей сетевой мультмедийной технологии Silverlight. Это стало результатом расследования, проведённого «Лабораторией Касперского». Данная история показывает, насколько важно следить за публичной информацией. Читайте газеты Всё началось с

Microsoft недавно заделала уязвимость нулевого дня в своей сетевой мультмедийной технологии Silverlight. Это стало результатом расследования, проведённого «Лабораторией Касперского». Данная история показывает, насколько важно следить за публичной информацией.

Читайте газеты

Всё началось с большой и любопытной статьи на Ars Technica, которая, в свою очередь, была опубликована по следам грандиозного скандала с Hacking Team. Итальянский «легальный вендор шпионских программ» сам подвергся взлому, в результате чего около 400 Гб данных, в том числе кое-какая чувствительная информация, попало в BitTorrent.

Ars Technica уделила особое внимание контактам итальянцев с неким выдающимся джентльменом из России, назвавшимся Виталием Тороповым и предложившим «оптом продать» эксплойты, разработанные для обнаруженных им уязвимостей. Все эксплойты были нулевого дня (то есть вендоры о них не знали) и предназначались для Flash Player, Silverlight, Java и Safari для Windows, OS X и iOS.

Hacking Team выбрала эксплойт Adobe Flash и купила его. Согласно внутренним комментариям, выбранный эксплойт был «совершенной сборки, легко настраивался, работал быстро и стабильно». Такие дифирамбы вредоносной программе…

Если Ars Technica уделила внимание, в основном, истории переписки и оплате, то исследователей «Лаборатории Касперского» привлекла кое-какая другая деталь. Торопов упомянул обственный «старый эксплойт для Silverlight, написанный 2,5 года назад и имеющий шансы протянуть ещё много лет.»

Вот тут у наших экспертов глаза и загорелись.

Silverlight

Silverlight — собственная технология Microsoft для отображения сетевого мультимедийного контента, созданная несколько лет назад в рамках конкуренции с тогдашним (и всё ещё) вездесущим Adobe Flash.

Большого успеха Microsoft она не принесла: степень распространения её всегда была существенно ниже, чем у Flash, и хотя некоторые веб-сервисы топового уровня (Netflix, например) некогда использовали Silverlight, в настоящее время они переезжают на HTML5.

Сама платформа была запущена в 2007 году, окончание её срока службы намечалось на 2012 год, а на следующий год планировалось все разработки, за исключением патчей и исправлений, свернуть. Silverlight больше не поддерживается в Chrome на OS X, поддержка Silverlight в Chrome для всех других операционных систем была отключена по умолчанию весной 2015 года и к осени была удалена полностью.

Несмотря на это, Silverlight до сих пор используют, а это означает, что эксплойты для его уязвимостей можно задействовать против пользователей. Кроме того, поддержка его ещё продолжается (до 2021 года, утверждают в Microsoft). Следовательно, вендор должен быть в курсе всего, но сначала уязвимость надо найти и проанализировать.

Г-н Торопов предлагал целый ассортимент «товаров». В ходе переписки с Hacking Team он сказал, что его начальная цена была эксклюзивной, в противном случае он продавал бы втридорога.

Это означало, что он мог уже поделиться — на взаимовыгодной основе, конечно, — своим эксплойтом с кем-то кроме Hacking Team, кем-то, кто уже применил эксплойт.

Предположение оказалось верным.

Открытие

Выяснилось, что г-н Торопов, помимо написания высококвалифицированного кода и умелой торговли, весьма активен в Open Source Vulnerability Database (OSVDB), где каждый может разместить информацию об уязвимостях.

Проанализировав его публичный профиль на OSVBD.org, исследователи «Лаборатории Касперского» обнаружили, что в 2013 году Торопов опубликовал для примера доказательство существования ещё одного бага в Silverlight. Ту уязвимость давно исправили. Важен в данном случая был метод написания кода Топоровым. В ходе проведённого анализа специалисты «Лаборатории Касперского» выявили кое-какие уникальные строки в коде.

Детектирование превыше всего

Используя эту информацию, исследователи разработали несколько методов обнаружения для защитных технологий «Лаборатории Касперского»: когда пользователь, который согласился делиться данными об угрозах с сетью безопасности ЛК (KSN), сталкивается с вредоносной программой, чьё поведение предусмотрено этими специальными правилами обнаружения, система помечает файл как чрезвычайно подозрительный и отсылает уведомление в компанию для анализа.

Через несколько месяцев после принятия специальных правил детектирования клиент «Лаборатории Касперского» подвергся атаке с использованием подозрительного файла с такими характеристиками.

Несколько часов спустя некто (возможно, жервта нападения) из Лаоса загрузил файл с теми же характеристиками в сервис мультисканера.

Эксперты «Лаборатории Касперского» проанализировали атаку и обнаружили, что она на самом деле эксплуатировала неизвестный баг в технологии Silverlight. Информация о ошибке была незамедлительно передана Microsoft для проверки.

Исследователи «Лаборатории Касперского» на все 100% не уверены, что это точно тот самый баг, упомянутый Тороповым, но есть веские основания полагать, что это он.

«Сравнительный анализ этого файла с предыдущей работой Виталия Торопова заставляет предположить, что автор этого недавно обнаруженного эксплойта и автор опубликованного на OSVDB примера от имени Торопова — это один и тот же человек. В то же время, мы не исключаем полностью того, что, могли найти ещё один эксплойт нулевого дня в Silverlight. В целом, данное исследование помогло сделать киберпространство несколько безопаснее вследствие выявления новой уязвимости нулевого дня и благополучного её раскрытия. Мы призываем всех пользователей продуктов Microsoft, обновить свои системы как можно скорее, с тем чтобы исправить эту уязвимость», — сказал Костин Райю, директор Центра глобальных исследований и анализа «Лаборатории Касперского».

Продукты «Лаборатории Касперского» опознают эксплойт CVE-2016-0034 под следующим кодом обнаружения: HEUR:Exploit.MSIL.Agent.gen.

Накануне в «патчевый вторник» Microsoft выпустила соответствующее обновление с рядом других исправлений. Обновление для Silverlight считается «критическим», так как позволяет удалённое исполнение кода, «если пользователь посетит скомпрометированный сайт, который содержит специально созданное приложение Silverlight». Пользователи Windows под конец дня могут увидеть предупреждение о необходимости установки автоматических обновлений.

Технические подробности читайте на Securelist.

Советы