в декабре минувшего года разработчики microsoft, в ответ на выложенный на всеобщее обозрение эксплоит, который эксплуатировал уязвимость в ftp-сервере iis, сообщили пользователям, что угроза не является серьёзной, т.к. худшие ее последствия – падение самого приложения.
руководитель программы по безопасности iis назим лала отметил в своём блоге такую положительную черту новых ос, как меры предупреждения угроз и минимизация их последствий - у хакеров не было возможности управлять данными, которые были перезаписаны в оперативной памяти. это стало ещё одной победой основательного подхода компании microsoft к разработке кода, многочисленные уровни защиты сделали систему менее уязвимой к атакам хакеров.
однако выяснилось, что победа немного омрачена. "белые" хакеры крис валасек и райан смит, сотрудники компании accuvant labs, опубликовали скриншоты, доказывающие, что у них не возникло никаких проблем при доступе к частям памяти компьютера, защищенных системой под названием heap-exploitation mitigation, которая должна была противостоять этому. преодолев это препятствие, они показали, что ошибка в iis оказалась намного серьёзнее, чем предполагал первоначальный анализ microsoft.
до настоящего момента их методика, с помощью которой можно обойти защиту кучи, была неизвестна никому, кроме узкого круга разработчиков. в субботу валасек и смит, последний является главным исследователем компании accuvant, поделились секретом на конференции по безопасности, которая проходила в майами бич.
функция минимизации последствий взлома динамически распределяемой памяти дебютировала во втором пакете обновлений windows xp, и позже была усовершенствована в последующих ос. она вычисляет участки памяти, которые были повреждены при переполнении кучи, и завершает основной процесс. эта технология являлась важным нововведением для microsoft. фактически за ночь целая группа уязвимостей, которая позволяла хакерам получить полный контроль над операционной системой, была устранена.
при работе с новыми ос, взломщики не сумеют сделать ничего больше, как обрушить приложение, содержащее ошибку.
валасек и смит смогли обойти защиту, потому что microsoft переработала конструкцию кучи, а также включила новую систему - lfh, или low fragmentation heap, которая должна была повысить скорость и улучшить качество работы, выявляя для приложений свободные места в памяти. и по причинам, которые всё ещё остаются неясными, новая система не применяет функцию минимизации последствий переполнения кучи (heap-exploitation mitigation).
"они открыли новую дорогу для хакеров, отличное начинание для взломщиков и плохое для конечных пользователях", - заметил смит. "закрыли заднюю дверь, но открыли окно".
функция lfh не включена по умолчанию, и взломщикам часто нужно прикладывать много усилий, чтобы активизировать её. в случае с уязвимостью в iis в декабре, они включили её с помощью запуска определённых образом сформированных команд ftp. с помощью этого довольно необычного способа у них не возникло никаких проблем при управлении памятью на заранее выбранном компьютере.
валасек и смит быстро выявили, что обход защиты требует сравнительно больше усилий и умений со стороны хакера. пять-десять лет назад хакерам-разработчикам зачастую можно было повторно использовать огромное количество кода при написании нового эксплоита. в этом случае так сделать не получится.
"в отличие от других техник взлома прошлых лет, приходится знать всё об исходной ос и приложении, активизирующим lfh, а также как использовать их в своих целях", - сказал валасек. "ты не можешь действовать вслепую".
это напоминает о характере работы в сфере системной безопасности, где идёт постоянная "гонка вооружений" - разработка по против шпионского по, в которой "черные" хакеры постоянно обходят новые средства защиты, разработанные "белыми" хакерами, в которой приходится непрерывно совершенствовать старые и создавать новые способы системной защиты. в такой же "гонке вооружения" хакеры обнаружили способы обойти другие механизмы системной защиты: технологию jit spray для взлома aslr и возвратно-ориентированное программирование против dep.
всё таки, по словам разработчиков, меры по защите и минимизации последствий взлома на сегодняшний день являются неизбежной частью разработки по.
"даже такие меры по предупреждению угроз, которые могут защитить конечного пользователя, но не в состоянии гарантировать компаниям, что им не придётся патчить свои приложения, уже хороши, потому что это усложняет работу хакеров", - говорит смит. "это позволяет выиграть время".
Комментариев нет:
Отправить комментарий