Должны ли мы ненавидеть WebDAV по причинам безопасности? Да, говорит компания eEye Digital Security, которая сфокусировала свой исследовательский взгляд на WebDAV (сокращенно от "Web-based Distributed Authoring and Versioning" - протокол, который позволяет компьютерам редактировать файлы и управлять ими совместно на удаленных ПК). "WebDAV вреден", - говорит технический директор eEye Марк Майфрет, суммируя данные отчета об исследовании, который фирма безопасности представила на прошлой неделе. В нем утверждается, что независимо от того, где он используется, WebDAV настолько негативно сказывается на безопасности, что компаниям следует прилагать ежедневные усилия, чтобы прекратить его использование.
Майфрет надеется, что отчет простимулирует конструктивные дебаты не только относительно WebDAV, но и возможностей использования конфигурации и фильтров программного обеспечения в качестве средств защиты. В отчете утверждается, что управление конфигурацией программного обеспечения является критической, но недостаточной защитой от хакеров, пытающихся эксплуатировать программные уязвимости.
"Значительное количество программных уязвимостей Microsoft, устраненных в 2010 году, можно было проактивно закрыть путем применения двух простых изменений в конфигурации", - сообщается в докладе. "Два уменьшающих риск момента - это блокирование WebDAV соединений и отключение конвертации файлов Office. В комбинации эти две меры могли бы предотвратить легкую эксплуатацию приблизительно 12% всех уязвимостей, закрытых Microsoft в 2010 году".
Отчет также поясняет, что WebDAV, как протокол на базе HTTP, в основном используется для совместной работы. "WebDAV может использоваться внутри организаций для управления документацией, для редактирования и т.д. Его можно также использовать для такого рода деятельности, как публикация информации, когда маркетинговый отдел организации, например, уполномочен делать обновления сайта самостоятельно".
Но eEye утверждает, что WebDAV стал слишком полезным для хакеров. "Вследствие большого количества эксплойтов, которым для функционирования необходим метод распространения, такой как, например, WebDAV, исследовательская группа eEye рекомендует своевременно предпринять меры по блокированию WebDAV".
В отчете также говорится: несмотря на то, что WebDAV существует уже довольно долгое время, и о злоупотреблении им хакерами известно давно, ставки значительно выросли лишь в прошлом августе, когда стала широко обсуждаться уязвимость под названием DLL Hijacking.
"Злоумышленники могут хранить вредоносную версию DLL-файла в каталоге WebDAV и путем убеждения пользователя открыть абсолютно безвредный и легитимный файл, выполнять код в среде данного пользователя", - подчеркивается в отчете. "Из-за характера уязвимости она не может быть пропатчена Microsoft без вторжения в процессы большого количества сторонних приложений. Сторонние разработчики по усмотрению могут патчить свое ПО в индивидуальном порядке".
"Попытки предположить все возможные сценарии DLL Hijacking в рамках сторонних приложений сводятся к догадкам", - говорится в отчете. "По этой причине мы бы хотели подчеркнуть важность блокировки WebDAV, не только в отношении программных уязвимостей Microsoft, но и сторонних приложений".
Еще одно открытие, сделанное исследователями безопасности в прошлом году, внесло вклад в увещевание eEye. В отчете сообщается, что исследователь Тавис Орманди в апреле 2010 года опубликовал информацию об уязвимости в Java Development Toolkit, связанную с недостаточной проверкой параметров. Данная уязвимость позволяла злоумышленнику выполнять команды в контексте безопасности зарегистрированного пользователя.
"Немного позже для эксплуатации данной уязвимости был выпущен Metasploit-модуль. Одним из условий для данного модуля была необходимость наличия у пользователя активной службы WebClient (WebDAV)", - подчеркивается в отчете. Metasploit является доступным средством выявления уязвимостей, которое может быть использовано как легальными ИТ-администраторами, так и злоумышленниками для определения слабых мест в сети.
eEye рекомендует функциональное ограничение WebDAV с помощью использования GPO (групповых политик) для управления и внедрения новой информационной политики в пределах организаций. Другим средством является удаление всех WebDAV соединений вне участка сети, использующего систему предотвращения вторжений (IPS). При блокировке WebDAV на участке сети eEye рекомендует "блокировать трафик только после определения того, что он не требуется не для каких-либо внутренних систем". Майфрет пояснил, что рекомендация отключения WebDAV при любой возможности актуальна не только для систем под Microsoft, но и везде где он используется. "Google тоже использует WebDAV", - сказал Майфрет. Также он добавил, что приглашает всех поучаствовать в обсуждении этих проблем на форумах eEye.
Еще одним предложением, о котором говорилось в отчете, является отключение подсистемы Microsoft NTVDM, сервиса Windows, эмулирующего 16-битную систему для запуска старых приложений. Эффект от MS10-015 и MS10-098, уязвимостей найденных в 2010 году и пропатченных Microsoft, можно устранить просто с помощью отключения подсистем NTVDM, указывается в отчете eEye.
Кроме того в отчете содержатся и другие утверждения, связанные с безопасностью. Предполагается, что огромным плюсом для безопасности является обновление ПО Microsoft до последних версий, но "стоит учитывать, что в то время как Microsoft исправляет уязвимости в новых версиях ПО, компания не смотрит назад и не борется с уязвимостями на старых (хотя все еще поддерживаемых) платформах". Также отчет рекомендует использовать прокси-сервер.
"Организации должны требовать, чтобы перед тем как попасть в интернет, весь сетевой трафик, а не только трафик отдельных приложений, шел через аутентифицированный прокси сервер". Почему? Потому, что согласно eEye, "«маршрутизация всего трафика через прокси-сервер заставит хакеров предпринять дополнительные усилия при попытке осуществления обратного соединения в пределах самой сети. Достаточно большое количество вредоносных программ не умеют работать с прокси. Это означает, что после установки и попытки бэкконекта, соединение будет сброшено, так и не покинув сеть".
eEye отмечает, что использование прокси сервера, столь непопулярного на сегодняшний день, "позволит с большей легкостью обнаруживать заражение", но это также "приведет к неизбежным ложным срабатываниям". И хотя подобный подход и не избавит от распространения инфекции внутри сети, eEye заявляет, что он "не позволит хакерам узнать, что какая-либо из инфекций была успешна внедрена", а также предотвратит "перекачку данных из сети".
В другой теме, относящейся к конфигурации, в отчете говорится, что весь внутренний трафик между отдельными узлами и сетью должен быть всегда зашифрован, включая трафик между VLAN. "Атакующему не удастся ни внедрить вредоносное устройство, ни присоединиться к файловым ресурсам сети".
В отчете предполагается, что использование вышеописанных методов явилось бы огромным шагом в предотвращении двух наиболее обсуждаемых атак 2010 года: операциии "Аврора", направленной на Google, и, по всей видимости, имеющей свои корни в Китае, и вируса Stuxnet, атакующего производственные системы управления.
