Security Week 44: zero-day в Windows, уязвимость в ботнете Mirai, серьезные дыры в MySQL

    У нас очередная неделя патчей с нюансами. Начнем с очередной новости про ботнет Mirai, использовавшийся для минимум двух масштабных DDoS-атак. Благодаря утечке исходников эта казалось бы одноразовая история превращается в масштабный сериал с сиквелами и приквелами. На этой неделе появился еще и спин-офф: исследователи из Invincea Labs откопали в атакующем коде Mirai три уязвимости (подробно в этой новости или в оригинальном исследовании).

    Самая серьезная уязвимость приводит к переполнению буфера в коде Mirai. Проблема заключается в некорректной обработке заголовка HTTP Location, который может присутствовать в ответе атакуемого сервера. Код отвечает за удаление префикса http:// из полученной строки. Сделано это очень просто: берем длину строки и вычитаем из нее количество знаков префикса (семь штук). Если подсунуть в ответе очень короткий заголовок Location (из пяти символов), то у нас получится отрицательное число (5-7 = -2), что и приводит к переполнению буфера и сбою.

    Важный момент: сбой происходит в процессе, выполняющем атаку. То есть можно таким образом прекратить атаку с зараженного устройства, но не выключить его из ботнета. В общем, получается какая-то очень знакомая, но перевернутая ситуация. Если бы речь шла о легитимной программе, мы бы говорили о «критической уязвимости, которая может быть легко эксплуатирована злоумышленником с помощью специально подготовленного ответа на http-запрос» или как-то так. Срочно патчить! А тут? По идее, наоборот, появляется возможность эффективно гасить атаки. Но возникает вопрос морально-этического плана: а не является ли эта процедура «взломом в ответ на взлом»?

    Hacking back или, буквально, попытки атаковать атакующих действительно приводят к некоторым сложностям этического и юридического характера. Есть масса причин не взламывать сервера киберпреступников, даже если очень хочется, и известны имена, пароли и явки. Во-первых, это зачастую просто незаконно. Во-вторых, вы с большой вероятностью будете ломать не обитель зла, а ничего не подозревающего пользователя с трояном на компе. В-третьих, подобная практика вызовет естественное желание иметь остро заточенные инструменты атаки «на всякий случай», которые невероятно легко перекочуют на темную сторону. Ваш крестовый поход против киберзла в итоге оборачивается распространением вредоносного ПО.



    Ладно, в контексте данной уязвимости Mirai вроде бы все безобидно: тут в общем-то нет никаких эксплойтов, вы просто немного меняете конфиг своего же веб-сервера. Но как я показал абзацем выше, концептуально такое действие ничем не отличается от эксплуатации уязвимости в добросовестном софте. Что советуют эксперты? Авторы отчета не советуют ничего: решайте мол сами. Тут даже сам анализ уязвимости Mirai с примерами из исходников непонятно как трактовать — то ли информируем общественность, то ли помогаем ботоводам лечить ботов.

    Дожили.

    Исследователи из Google обнародовали информацию об уязвимости нулевого дня в Windows до выпуска патча. В Microsoft недовольны.


    Новость. Пост в блоге команды исследования угроз Google.

    31 октября группа исследователей-безопасников из Google опубликовала краткое описание уязвимости нулевого дня в Windows. Уязвимость позволяет локально повысить привилегии пользователя и может быть использована в механизме «побега из песочницы». Компании Microsoft исследователи передали информацию об обнаруженной уязвимости 21 октября, дав всего семь дней на разработку патча. Вот здесь начинается интересный момент: общепринятое «время ожидания» (пока вендор готовит и распространяет заплатку) составляет несколько недель, а в данном случае срок оказался гораздо меньше. Microsoft не смогла вовремя закрыть уязвимость: получилось что в Google распространили данные о серьезной проблеме в то время, как решения не существует. Хотя, например, в Chrome был добавлен «костыль», делающий невозможным эксплуатацию «побега» именно в этом браузере.

    Почему так? У Google есть публичный документ, в котором подробно расписаны сроки ожидания для тех уязвимостей, которые активно эксплуатируются. По мнению исследователей этой компании, для in-the-wild эксплойтов лучше распространить информацию, чтобы о проблеме знали и пытались что-то сделать самостоятельно, если уж вендор не поспел с заплаткой или хотя бы анонсом. Кстати, 21 октября Google отправила информацию об уязвимости еще в Adobe по поводу Flash, и вот там как раз все успели.

    Проблема в том, что общепринятых норм этикета во взаимоотношениях вендоров и исследователей не существует. Очевидно что аргументы Google справедливы, но так же справедливы и контр-аргументы Microsoft. По их мнению (подробный разбор в этой новости) такое поведение Google ставит под удар клиентов Microsoft — ведь раскрытие даже минимального объема информации об уязвимости может привести к тому, что эксплойт начнет использоваться гораздо более широко. Уязвимость обещают закрыть 9 ноября. А вот дискуссии вокруг этики исследовательской работы в ИБ будут продолжаться еще долго, пока все наконец не договорятся.

    Критические уязвимости обнаружены в MySQL и совместимых СУБД


    Новость. Исследование Legal Hackers.

    Для разнообразия — стандартные уязвимости без нюансов и срача. В сентябре я уже упоминал критическую уязвимость в MySQL, которая на данный момент закрыта. Первооткрыватель, Давид Голунски из группы Legal Hackers решил не останавливаться на достигнутом и зарепортил две новые серьезные уязвимости, затрагивающие как MySQL, так и основанные на коде этой СУБД форки MariaDB и Percona Server.

    Примечательно, что уязвимости могут использоваться совместно, что в обеспечивает атакующему полный доступ к подверженной системе. Первая уязвимость (CVE-2016-6663) позволяет локальному пользователю СУБД повысить привилегии. Используя эту проблему как точку опоры, есть возможность применить вторую уязвимость и получить права рута. Вторая уязвимость (CVE-2016-6664) связана с небезопасным обращением MySQL с файлом error.log. Кстати, для развития атаки можно использовать и сентябрьскую уязвимость, если она не была пропатчена.

    Уязвимости уже были закрыты во всех упомянутых продуктах. Интересное решение получилось у разработчиков MariaDB: они оперативно закрыли первую дыру (6663), а патч для второй оставили на потом. Аргумент простой: без «трамплина» получить права суперпользователя не выйдет.

    Что еще произошло


    Патчи для iTunes и панели управления iCloud для платформы Windows.

    Эксперты «Лаборатории» опубликовали отчет о DDoS-атаках за третий квартал года. На повестке дня продолжающийся рост доли DDoS-атак с помощью Linux-машин (78,9%).

    Древности


    «Goodbye-839»

    Резидентный неопасный вирус, стандартно поражает загружаемые в память .COM-, .EXE- и OVL-файлы. В воскресенье исполняет мелодию «Goodbye America» рок-группы «Наутилус-Помпилиус». Перехватывает int 1Ch, 21h.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 68.



    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    • +25
    • 9,4k
    • 2
    «Лаборатория Касперского» 96,69
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Комментарии 2
    • +2
      Побольше бы таких статей.
      • 0
        Кстати, 21 октября Google отправила информацию об уязвимости еще в Adobe по поводу Flash, и вот там как раз все успели.

        Что они там успели? Версия 23.0.205 вышла много месяцев назад, а разговор по ссылке идет про 23.0.185 и более ранние, успели говорите, особенно учитывая как они относятся к безопасности, уязвимость вряд ли могла быть случайно закрыта и значит получается, что они про нее знали и сами ликвидировали за долго до того как гугль ее нашел.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое