Эксплоит к новой
уязвимости, которой подвержены сотни приложений
, появился в Metasploit. А
появление эксплоита к уязвимости, которая позволяет выполнять произвольный код
на уязвимых компьютерах, означает начало широкомасштабной атаки хакеров,
предупреждают эксперты.

"Раз эксплоит попал в Metasploit, у хакеров не займет много времени на
выполнение широкомасштабной атаки", — говорит директор nCircle Security. "Саму
трудную часть за них уже сделали".

HD Moore вчера выпустил новый эксплоит к обнаруженной на прошлой неделе
уязвимости и вдобавок к нему —

программу для аудита
, которая определяет наличие небезопасных приложений.
Вместе — сканер и эксплоит — создают эффективный набор для проведения атак (DLL Hijacking),
говорит Moore.

Уязвимость (DLL Hijacking) заключается в том,
что многие Windows программы можно заставить подгружать исполняемые файлы из
удаленных сетевых источников. В момент открытия, например, медийного файла
программа начнет поиск требуемого DLL и первым обнаружит находящийся в той же
директории файл. Таким образом хакер получит возможность выполнить на машине
произвольный код.

Первоначально HD Moore говорил о 40 уязвимых приложения, однако сейчас уже
речь идет более чем о 200 программах, которые можно обмануть таким образом.

Microsoft в настоящий момент выпустила описание ошибки (advisory),
рекомендации по защите и
программу для
изменения способа, которым Windows ищет DLL файлы
, однако полноценного патча
нет и по видимому в ближайшее время не предвидится. Закрытие такой уязвимости
может занять месяцы, говорят эксперты. "Загрузка динамических библиотек — стандартная
функция для Windows и других операционных систем, по самой сути многим
приложениям нужно загружать библиотеки из текущей директории", — пишет
представитель Microsoft Security Response Center. "Мы не можем исправить эту
уязвимость не нарушив весь функционал. Вместо этого самим разработчикам
необходимо убеждаться в безопасной загрузке правильного кода". Сам HD Moore
рекомендует отключить WebDAV и заблокировать исходящие SMB коннекции по 445 и
139 порту.



Оставить мнение