В информационной безопасности бывают такие периоды, когда никаких особых открытий не происходит. Вместо этого достаточно рутинная работа по закрытию (или незакрытию) ранее обнаруженных уязвимостей. На этой неделе как раз такой период: самые популярные новости практически полностью посвящены заплаткам. Что ж, тоже неплохо, тем более, что подход у разных компаний к патчам серьезно отличается, да и восприятие этой темы иногда бывает, ну, несколько странным. Простой пример: в конце прошлого года в софте Apple (конкретно Mac OS X и iOS) насчитали рекордное количество уязвимостей. Ну то есть посмотрели в базу данных CVE, и обнаружили, что больше всего уязвимостей было обнаружено в Mac OS X, iOS и Adobe Flash. В некоторых СМИ даже назвали платформы Apple «самыми опасными», что, конечно, неправда. Ведь связь между «обнаружили уязвимость» и «пользователи в опасности» практически не прослеживается. Наоборот, в контексте базы CVE «обнаружили» как правило означает «закрыли». А это, в общем-то, хорошие новости.
Возможно тут дело в том, что многие ухватились за простой и понятный рейтинг дыр, с абсолютными цифрами, которые дают ложное чувство понимания ландшафта угроз. Хорошая попытка «упростить» тему, но нет, с безопасностью этот прием не проходит. Поэтому посмотрим на патчи этой недели внимательнее. Все выпуски дайджеста — тут.
Уязвимость в ядре Linux позволяет получить root-привилегии
Новость. Исследование компании Perception Point.
Серьезная уязвимость в ядре Linux обнаружена экспертами компании Perception Point, и затрагивает все версии ядра начиная с 3.8, то есть начиная с 2012 года. Высока вероятность, что и ваш компьютер под управлением Linux тоже подвержен, и в этот момент пользователи Windows и Mac OS X должны вздохнуть с облегчением, но не стоит торопиться. Опыт показывает, что Linux обнаруживается в самых неожиданных местах: ну, понятно, веб-сайт компании может работать на Linux, ваш телефон может работать на Linux, а ваш домашний или SoHo роутер практически точно работает на Linux. Собственно так и получилось: помимо ПК и серверов уязвимости подвержены все смартфоны Android начиная с версии KitKat, то есть почти все.
Неспециалисту процесс эксплуатации уязвимости покажется достаточно сложным, хотя на самом деле он вполне прямолинеен и надежен: запускаем код, и через полчаса получаем доступ с неограниченными правами. Полчаса требуются на хитрый процесс обращения к функции ядра keyctl, переполнение буфера и так далее. Чтобы получить права рута, надо уже иметь доступ к системе: в случае с Android это может быть вредоносное приложение, аналогично для десктопа под управлением Linux, а для серверов все несколько сложнее. Для основных дистрибутивов на базе Linux патчи уже выпущены (проблема решается добавлением одной строчки в код), а вот у Android все как всегда намного, намного сложнее.
Уязвимость в OpenSSH может привести к краже приватных ключей
Новость. Security Advisory.
Обновили ядро? Обновите заодно и пакет OpenSSH, как бы намекают нам его разработчики. В полном соответствии с мантрой «это не баг, это фича», уязвимости оказались подвержены SSH-клиенты версий 5.4-7.1. В версии 5.4 была добавлена функция «UseRoaming», позволяющая восстанавливать прерванное соединение к серверу. Интересно, что в серверной части OpenSSH эта же функция так и не была реализована, а вот в клиенте обнаружилась уязвимость. Дыра приводит к утечке данных из оперативной памяти: при подключении к специальным образом подготовленному серверу возможна даже утечка приватных ключей клиента. В дальнейшем эти же ключи злоумышленник может использовать для проникновения на другие Linux-системы.
В общем, достаточно серьезная уязвимость, но, как и в случае с дырой в ядре Linux, с множеством оговорок. Например, такой сценарий не позволяет украсть ключи путем организации атаки типа man-in-the-middle. Клиент должен сам подключиться к серверу злоумышленников, или же к скомпрометированному собственному серверу. Решается проблема просто — либо накатить обновление, либо в конфигурации клиента отключить ту самую бесполезную опцию UseRoaming. Зачем ее вообще было включать по умолчанию при отсутствии поддержки в серверной части — не очень понятно.
Apple закрыла уязвимость в Gatekeeper, дважды, и оба раза не до конца
Новость.
Вот эта история хорошо показывает, как в отношениях между разработчиками софта и исследователями что-то может пойти не так. Еще в июне прошлого года исследователь Патрик Вардл сообщил Apple (приватно) об уязвимости в функции Gatekeeper. Gatekeeper — это та самая штука в современных версиях Mac OS X, которая не дает просто так взять и запустить загруженную из сети программу: она должна быть подписана соответствующим сертификатом. Функция направлена на повышение безопасности — нечего мол всякое непотребство из интернета ставить, пользуйтесь софтом из магазина. В целом верно: такой подход в iOS сделал мобильную экосистему Apple достаточно безопасной.
Так вот, исследователь выяснил, что проверка при запуске скачанного ПО слишком простая: по сути проверяется только тот исполняемый файл, на который кликает пользователь. Если он подписан сертификатом, он выполняется. Если эта программа запускает другую из той же локации, то вторая программа уже не проверяется никак. То есть вектор атаки вполне понятен: подписываем код (с помощью Apple, или собственным сертификатом — для компаний эта возможность поддерживается), предусматриваем в нем запуск другого файла, а вот в нем уже делаем все, что душе угодно.
Как утверждает Вардл, все, что сделала Apple — это добавила в черный список файлы, которые сам исследователь прислал в качестве Proof of Concept. Естественно, «обойти» такой патч можно примерно за 30 секунд, что и было сделано. В декабре Apple выпустила новый патч, но применила точно такую же тактику. Если действительно было так, то получается, что вендор тушил пожар с помощью крестного хода. Но это если верить исследователю. Сама Apple, в традиционной для себя манере, ситуацию не комментирует. В целом ситуаций, когда вендор считает, что проблема решена, а независимый эксперт не согласен — много, а будет еще больше. Что с этим делать — не очень понятно, но решение явно заключается в более открытом обмене информации об уязвимостях и патчах к ним. Я сейчас даже не про раскрытие кода заплаток, а про взаимодействие вендоров с сообществом. В общем, о том, что у разработчика Mac OS X не всегда хорошо получается.
Что еще произошло:
Cisco патчит собственный софт, в том числе ПО для WiFi-контроллеров серии Aironet 1800 — там обнаружились вшитый пароль и дефолтная учетная запись.
В веб-почте Yahoo! Обнаружилась! Опасная! Уязвимость! (извините). Уязвимость типа XSS позволяет в широких пределах манипулировать чужим почтовым аккаунтом, если удастся заманить пользователя на сайт с вредоносным JavaScript, и если он залогинен в почту в том же браузере. Финский исследователь Йоуко Пюннёнен получил за находку 10 тысяч долларов по программе bug bounty. А вот его proof of concept:
Древности:«Seat-1614»
Резидентный неопасный вирус. Поражает .COM- и .EXE-файлы (кроме COMMAND.COM) при их запуске. EXE-файлы поражаются стандартно, COM-файлы — в начало. После 15-ти успешных поражений файлов рисует на экране голый зад, который при нажатии на любую клавишу выдает соответствующие ему (заду) звуки. Перехыватывает int 9, int 1Ch, int 21h. Содержит текст: «VVF3.4».
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 82.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
