Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей
Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей. В докладе сообщается о возможности автоматического создания эксплоита на только что вышедшую заплатку за весьма короткий срок.
О проекте
Проект под кодовым названием APEG (Automatic Patch-based Exploit Generation) был обнародован группой американских исследователей на прошлой неделе, заметка о котором была размещена на популярном сайте, посвященном безопасности - SecurityFocus.com. Цель исследования – создание механизма автоматической генерации эксплоитов на основе анализа бинарного кода исправлений от производителей (Microsoft).
Авторы исследования - David Brumley, Pongsin Poosankam, Dawn Song и Jiang Zheng – обвиняют Microsoft в использовании опасного метода распространения патчей: «Когда Microsoft выпускает патч, они, с точки зрения безопасности, говорят – Вот вам эксплоит». Исследователи в своем докладе говорят о возможности автоматического создания (за весьма короткий срок) эксплоита на только что вышедшую заплатку.
В документе говорится, что исследователям таким образом удалось создать эксплоиты к 5 распространенным уязвимостям:
http://www.securitylab.ru/vulnerability/274641.php (CVE-2006-3730)
http://www.securitylab.ru/vulnerability/270443.php (CVE-2006-1300)
http://www.securitylab.ru/vulnerability/262519.php (CVE-2006-0021)
http://www.securitylab.ru/vulnerability/301221.php (CVE-2007-3034)
http://www.securitylab.ru/vulnerability/205793.php (CVE-2005-1211)
Самый быстрый результат - 30 секунд для анализа патча и генерации эксплоита.
Так ли все плохо на самом деле?
Техника дизассемблирования патчей и написания PoC кода известна уже давно. Большинство компаний, выпускающих security-ориентированное ПО (системы обнаружения вторжения, антивирусы, межсетевые экраны и т.п.) получают все необходимые данные для создания сигнатур и предотвращения атак в течении 24 часов. И зачастую это происходит до того, как пользователь установит соответствующие заплатки. Здесь речь идет не только о Microsoft, но и о других компаниях, которые выпускают приложения с закрытым кодом. Авторы исследования громко называют APEG будущим злонамеренного ПО и обвиняют Microsoft в недостаточно безопасной организации работы механизма Windows Update.
Я попробую опровергнуть это «предсказание» будущего:
Прежде всего, далеко не каждая уязвимость может быть удачно эксплуатирована на большинстве систем, а именно количество потенциально уязвимых систем является решающим фактором для реализации подобного механизма в malware.
В данный момент процесс дизассемблирования патчей и создания PoC кода уже довольно неплохо автоматизирован, что позволяет получить тот же эксплоит в течении 24 часов.
Для чего реализовывать довольно сложную логику анализа патчей и создания эксплоитов, если до сих пор злоумышленники удачно эксплуатируют уязвимости 2-х годичной давности? Не думаю, что ситуация с установкой исправлений изменится в ближайшем будущем.
Эксплуатация уязвимостей в Web приложениях и распространение злонамеренного ПО через популярные Web сайты, используя уязвимости в браузерах и надстройках к ним, гораздо эффективнее и проще в реализации, чем эксплуатация системных компонентов ОС. И как правило данные о подобных уязвимостях попадают к производителям уже после их появления в паблике.
Мое общее впечатление от исследования – авторам очень хотелось «продвинуть» это исследование и лишний раз сказать заветную фразу «вендекапец» и «Microsoft во всем виновата».
Все желающие могут просмотреть данные исследования по адресу http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf.
PS. Авторы также предлагают методы борьбы с дизассемблированием патчей. Но все они, по моему мнению, не только не сделают обновления безопасными, но и могут привести к еще большим проблемам, связанным как с безопасностью так и со стабильностью работы системы.
А всем читателям, как всегда рекомендуем устанавливать вовремя исправления и следовать общим инструкциям по соблюдению правил безопасности работы в Интернет.
Валерий Марчук
www.SecurityLab.ru