Компания Qualys, занимающаяся компьютерной безопасностью, продемонстрировала
на этой неделе как декомпилировать патч Microsoft с целью запуска "denial-of-service"
атаки на Windows DNS Server.
Эксперимент показывает шаги, которые могли предпринять хакеры для атаки
Windows, а также подчеркивает значение скорейшего внедрения патчей Microsoft.
Патч, который использовала компания Qualys, закрыл две уязвимости в Windows
DNS Server и получил отметку "критический", самый серьезный рейтинг компании
Microsoft. Microsoft заявила, что не ожидает, что уязвимость может быть
использована хакерами в этом месяце, но эксперимент компании Qualys доказывает,
что такая опасность все же возможна.
"Мы декомпилировали патч, чтобы лучше понять механизмы уязвимостей и
обнаружили, что эти уязвимости могут приводиться в действие всего несколькими
простыми шагами", - пишет в своем
посте Барат Джоги, специалист по защите информации компании Qualys. "Наш
эксперимент демонстрирует возможность DoS-атаки, но злоумышленники могут также
добиться исполнения кода".
Qualys использовала "binary-diffing" инструмент, называемый TurboDiff, для
сравнения непропатченной и пропатченной версий файлов DNS Server. Это помогло
специалистам по безопасности "лучше понять изменения, которые были внесены для
устранения уязвимостей", но также может помочь плохим ребятам понять как
воспользоваться уязвимостью и направить ее против систем, которые еще не
получили обновления безопасности.
Как только уязвимости были обнаружены, Qualys установила два DNS-сервера в
лаборатории и взломала один из них путем ввода нескольких команд. Так как для
осуществления атаки требуется всего несколько шагов, Qualys рекомендует своим
пользователям осуществлять сканирование с помощью защитного ПО QualysGuard и
"использовать обновления защиты как можно скорее".
Патч для Windows DNS Server стал одним из двух критических патчей,
выпущенных в этом месяце
компанией Microsoft. Другой патч залатал семь брешей в Internet Explorer.
Компания предупредила пользователей о том, что им "желательно установить
обновление в течение 30 дней". Специалист по безопасности Lumension Пол Генри
идет даже дальше, заявляя: "Мы приступаем к работе уже через 24 часа (после
выпуска патча) для проверки работы кода в естественной среде".
Вывод: спустя несколько дней после выпуска того или иного патча у хакеров
появляется возможность атаковать непропатченные системы. Таким образом,
ИТ-специалисты должны внедрять обновления безопасности настолько быстро,
насколько это вообще возможно.
