`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Чудны дела твои

+66
голосов

Microsoft выпустила бюллетень с информацией об очередной уязвимости нулевого дня. В свете единодушия экспертов относительно тенденций в хакерском мире – вполне проходное явление. Но самое интересное, как обычно, между строк.

Уязвимость обнаружили специалисты McAfee и, как сообщается в их блоге, большую роль сыграла Advanced Exploit Detection System (AEDS). Более или менее подобные системы сегодня имеются в арсенале практически всех крупных поставщиков средств безопасности, но что конкретно они делают, понять не всегда просто. В данном случае все происходило примерно так: где-то (у кого-то из клиентов) была замечена странная интернет-активность (Word стал самостоятельно загружать файлы, причем исполняемые), связанная, по-видимому, с ресурсами (сайтами и файлами) с неясной репутацией. Сочетание таких факторов, вероятно, предполагает вмешательство эксперта, который и классифицировал инцидент как реальную угрозу. Вот такой симбиоз искусственного и естественного интеллектов.

Конкретная уязвимость связана с переполнением буфера в графических библиотеках, обрабатывающих файлы TIFF. Она может использоваться для удаленного исполнения кода с текущими привилегиями пользователя, но обнаруженная атака была достаточно сложной и задействовала ряд других методик, в частности, впервые для техники heap spray применялись компоненты ActiveX. Реальная атака проводилась на Word, но понятно, что те же библиотеки могут использоваться и другим ПО. Подробности содержатся в бюллетене, но, вкратце, уязвимы:

  • Windows Vista
  • Windows Server 2008
  • Microsoft Office 2003/2007/2010
  • Microsoft Office Compatibility Pack
  • Microsoft Lync 2010/2013
  • Microsoft Lync 2010 Attendee
  • Microsoft Lync Basic 2013,

а остальные версии – нет.

Тут есть над чем поразмыслить. С Office картина вроде бы понятна: старые версии уязвимы, в 2013 что-то поправили. Хотя и здесь возникает вопрос: почему вдруг выпал Lync, который вроде бы относится к тому же семейству продуктов? Но с ОС картина совсем запутана: выпадают какие-то отдельные версии. К примеру, в Windows XP SP3, завершающей свой жизненный цикл, уязвимости нет, а в Windows Vista, которая еще сопровождается, – есть. Можно предположить, что внутри Microsoft нет единого репозитория вспомогательных компонентов и в их использовании присутствует определенный разнобой.

Хотя, отсутствие данной угрозы для Windows 7 и 8 можно объяснить внедрением защитных технологий вроде ASLR. Это тем более правдоподобно, что в качестве одного из методов оперативной (до выпуска заплаток) защиты рекомендуется использовать EMET. Это также является хорошим признаком того, что используемые в EMET защитные механизмы направлены все-таки против хакерских методик, а не отдельных эксплойтов. Так что, внедрив EMET, можно спать чуть более спокойно.

+66
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT