В декабре минувшего года разработчики Microsoft, в ответ на
выложенный на всеобщее
обозрение эксплоит
, который эксплуатировал уязвимость в FTP-сервере IIS,
сообщили пользователям, что угроза не является серьёзной, т.к. худшие ее
последствия – падение самого приложения.

Руководитель программы по безопасности IIS Назим Лала отметил в своём блоге
такую положительную черту новых ОС, как меры предупреждения угроз и минимизация
их последствий — у хакеров не было возможности управлять данными, которые были
перезаписаны в оперативной памяти. Это стало ещё одной победой основательного
подхода компании Microsoft к разработке кода, многочисленные уровни защиты
сделали систему менее уязвимой к атакам хакеров.

Однако выяснилось, что победа немного омрачена. "Белые" хакеры Крис Валасек и
Райан Смит, сотрудники компании Accuvant Labs, опубликовали
скриншоты, доказывающие,
что у них не возникло никаких проблем при доступе к частям памяти компьютера,
защищенных системой под названием Heap-exploitation mitigation, которая 
должна была противостоять этому. Преодолев это препятствие, они показали, что
ошибка в IIS оказалась намного серьёзнее, чем предполагал первоначальный анализ
Microsoft.

До настоящего момента их методика, с помощью которой можно обойти защиту
кучи, была неизвестна никому, кроме узкого круга разработчиков. В субботу
Валасек и Смит, последний является главным исследователем компании Accuvant,

поделились секретом
на конференции по безопасности, которая проходила в
Майами Бич.

Функция минимизации последствий взлома динамически распределяемой памяти
дебютировала во втором пакете обновлений Windows XP, и позже была
усовершенствована в последующих ОС. Она вычисляет участки памяти, которые были
повреждены при переполнении кучи, и завершает основной процесс. Эта технология
являлась важным нововведением для Microsoft. Фактически за ночь целая группа
уязвимостей, которая позволяла хакерам получить полный контроль над операционной
системой, была устранена.

При работе с новыми ОС, взломщики не сумеют сделать ничего больше, как
обрушить приложение, содержащее ошибку.

Валасек и Смит смогли обойти защиту, потому что Microsoft переработала
конструкцию кучи, а также включила новую систему — LFH, или low fragmentation
heap, которая должна была повысить скорость и улучшить качество работы, выявляя
для приложений свободные места в памяти. И по причинам, которые всё ещё остаются
неясными, новая система не применяет функцию минимизации последствий
переполнения кучи (Heap-exploitation mitigation).

"Они открыли новую дорогу для хакеров, отличное начинание для взломщиков и
плохое для конечных пользователях", — заметил Смит. "Закрыли заднюю дверь, но
открыли окно".

Функция LFH не включена по умолчанию, и взломщикам часто нужно прикладывать
много усилий, чтобы активизировать её. В случае с уязвимостью в IIS в декабре,
они включили её с помощью запуска определённых образом сформированных команд FTP.
С помощью этого довольно необычного способа у них не возникло никаких проблем
при управлении памятью на заранее выбранном компьютере.

Валасек и Смит быстро выявили, что обход защиты требует сравнительно больше
усилий и умений со стороны хакера. Пять-десять лет назад хакерам-разработчикам
зачастую можно было повторно использовать огромное количество кода при написании
нового эксплоита. В этом случае так сделать не получится.

"В отличие от других техник взлома прошлых лет, приходится знать всё об
исходной ОС и приложении, активизирующим LFH, а также как использовать их в
своих целях", — сказал Валасек. "Ты не можешь действовать вслепую".

Это напоминает о характере работы в сфере системной безопасности, где идёт
постоянная "гонка вооружений" — разработка ПО против шпионского ПО, в которой
"черные" хакеры постоянно обходят новые средства защиты, разработанные "белыми"
хакерами, в которой приходится непрерывно совершенствовать старые и создавать
новые способы системной защиты. В такой же "гонке вооружения" хакеры обнаружили
способы обойти другие механизмы системной защиты: технологию
JIT spray для взлома
ASLR и
возвратно-ориентированное программирование
против DEP.

Всё таки, по словам разработчиков, меры по защите и минимизации последствий
взлома на сегодняшний день являются неизбежной частью разработки ПО.

"Даже такие меры по предупреждению угроз, которые могут защитить конечного
пользователя, но не в состоянии гарантировать компаниям, что им не придётся
патчить свои приложения, уже хороши, потому что это усложняет работу хакеров", —
говорит Смит. "Это позволяет выиграть время".



Оставить мнение