криптософте TrueCrypt виявлені критичні уразливості



Член команди Google Project Zero Джеймс Форшоу (James Forshaw) виявив дві критичні уразливості в драйвері TrueCrypt, що програма встановлює в Windows-системах. Помилки безпеки CVE-2015-7358, CVE-2015-7359 дозволяють зловмисникам здійснити ескалацію привілеїв, отримавши повні права адміністратора та доступ до всіх даних користувача навіть у тому випадку, якщо вони зашифровані.

Уразливості залишилися непоміченими під час незалежного аудиту коду програми. Перевірка складалася з двох етапів і проводилася інженерами iSEC Partners після того, як розробники TrueCrypt внезпано заявили про закриття проекту, повідомивши про те, що в його коді можуть міститися уразливості.

Форшоу вважає, що знайдені ним уразливості не є бекдор. Дослідник помітив, що по всій видимості, учасники аудиту просто їх не помітили.



Аудитори фокусувалися саме на пошуках «закладок» у коді — підозри в їх наявності з'явилися після дивних заяв початкових розробників TrueCrypt, які так і залишилися анонімними.

Дослідник поки не представив докладних даних, заявивши, що хоче дати авторам форков тиждень на виправлення багів. Оскільки інструмент більш офіційно не розвивається, то діри безпеки безпосередньо в коді початкового програми виправлені не будуть. Тим не менш, помилки були виправлені у відкритій програмі VeraCrypt, яка заснована на TrueCrypt.

Версія VeraCrypt 1.15, випущена в кінці вересня, містить виправлення для знайдених Форшоу вразливостей.

За словами експерта дослідного центру Positive Research Артема Шишкіна, експлуатувати знайдені Форшоу уразливості дуже просто. «Вбудований статичний верифікатор на таке не скаржиться, проте той, хто «шарить» в безпеці, першим ділом поліз це перевіряти». Експерт не впевнений в тому, що уразливості представляли собою «закладки»: «Сумнівно, швидше за все халтура, що залишилася з часів Windows XP».

Керівник відділу аналізу додатків Positive Technologies Дмитро Скляров припустив, що виявлені вразливості дійсно могли бути залишені розробниками TrueCrypt навмисно.

«Помилка дозволяє зробити швидше не Privilege Escalation, а отримати доступ до того TrueCrypt, вмонтованого під іншим користувачем, який не маючи прав адміністратора. Тобто отримати контроль над машиною вразливість не дозволяє, але зате забезпечення конфіденційності явно кульгає.

В світлі цих фактів я, як професійний параноїк, констатую, що ці уразливості цілком можуть бути запланованими закладками. І той факт, що вони так схожі на «раздолбайство», робить їх хорошими закладками, бо спеціально створені уразливості досить важко зберегти непомітними».

На думку Склярова, в ході якісно проведеного аудиту безпеки такі помилки повинні були бути виявлені:

«У таких випадках завжди шукають конкретні типи вразливостей — з опису схоже, що проведений аудит шукали бекдори і алгоритмічні закладки. А значить, хорошим аудитом подібні діри мають бути обов'язково виявлено».

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.