Security Week 44: zero-day в Windows, вразливість в ботнеті Mirai, серйозні діри в MySQL

У нас чергова тиждень патчів з нюансами. Почнемо з черговою новини про ботнет Mirai, що використовувався для щонайменше двох масштабних DDoS-атак. Завдяки витоку исходников ця здавалося б одноразова історія перетворюється в масштабний серіал з сіквелом і пріквелами. Цього тижня з'явився ще і спін-офф: дослідники з Invincea Labs відкопали в атакуючому коді Mirai три уразливості (докладно этой новини або в оригінальному дослідження).

Сама серйозна вразливість призводить до переповнення буфера в коді Mirai. Проблема полягає в некоректній обробці заголовка HTTP Location, який може бути присутнім у відповіді атакується сервера. Код відповідає за видалення префікса http:// з отриманої рядка. Зроблено це дуже просто: беремо довжину рядка і віднімаємо з неї кількість знаків префікса (сім штук). Якщо підсунути у відповіді дуже короткий заголовок Location (з п'яти символів), то у нас вийде від'ємне число (5-7 = -2), що і призводить до переповнення буфера і збою.

Важливий момент: збій відбувається в процесі, що виконує атаку. Тобто можна таким чином припинити атаку з зараженого пристрою, але не вимкнути його з ботнету. Загалом, виходить якась дуже знайома, але перевернута ситуація. Якщо б мова йшла про легітимною програмі, ми б говорили про «критичну вразливість, яка може бути легко эксплуатирована зловмисником за допомогою спеціально підготовленого відповіді на http-запит» чи якось так. Терміново патчити! А тут? По ідеї, навпаки, з'являється можливість ефективно гасити атаки. Але виникає питання морально-етичного плану: а чи не є ця процедура «зломом у відповідь на злом»?

Hacking back або, буквально, спроби атакувати атакуючих дійсно приводять до деяких складнощів етичного та юридичного характеру. Є маса причин зламувати сервера кіберзлочинців, навіть якщо дуже хочеться, і відомі імена, паролі та явки. По-перше, це найчастіше просто незаконно. По-друге, ви з великою ймовірністю будете ламати не обитель зла, а нічого не підозрює користувача з трояном на компі. По-третє, подібна практика викликає природне бажання мати гостро заточені інструменти атаки «на всяк випадок», які неймовірно легко перекочують на темну сторону. Ваш хрестовий похід проти киберзла в підсумку обертається поширенням шкідливого ПО.



Гаразд, в контексті даної уразливості Mirai начебто все просто: тут немає ніяких експлойтів, ви просто міняєте конфіг свого веб-сервера. Але як я показав абзацом вище, концептуально така дія нічим не відрізняється від експлуатації уразливості в сумлінному софті. Що радять експерти? Автори звіту не радять нічого: мовляв самі вирішуйте. Тут навіть сам аналіз вразливості Mirai з прикладами з исходников незрозуміло як трактувати — то інформуємо громадськість, то допомагаємо ботоводам лікувати ботів.

Дожили.

Дослідники з Google оприлюднили інформацію про уразливість нульового дня у Windows до випуску патча. У Microsoft незадоволені.
Новина. Посада в блозі команди дослідження загроз Google.
31 жовтня група дослідників-сб з Google опублікувала короткий опис уразливість нульового дня в Windows. Уразливість дозволяє локально підвищити привілеї користувача і може бути використана в механізмі «втечі з пісочниці». Компанії Microsoft дослідники передали інформацію про виявленої уразливості 21 жовтня, давши всього сім днів на розробку патча. Ось тут починається цікавий момент: загальноприйняте «час очікування» (поки вендор готує і поширює заплатку) становить кілька тижнів, а в даному випадку термін виявився набагато менше. Microsoft не змогла вчасно закрити вразливість: вийшло що в Google поширили дані про серйозну проблему в той час, як рішення не існує. Хоча, наприклад, в Chrome був доданий «милиця», що робить неможливим експлуатацію «втечі» саме в цьому браузері.

Чому так? У Google є публічний документ, в якому детально розписані терміни очікування для тих вразливостей, які активно експлуатуються. На думку дослідників цієї компанії, для in-the-wild експлойтів краще поширити інформацію, щоб про проблему знали і намагалися щось зробити самостійно, якщо вже вендор не поспів з латкою або хоча б анонсом. До речі, 21 жовтня Google відправила інформацію про уразливість ще в Adobe з приводу Flash, і ось там якраз всі встигли.

Проблема в тому, що загальноприйнятих норм етикету у взаєминах вендорів і дослідників не існує. Очевидно, що аргументи Google справедливі, але так само справедливі і контр-аргументи Microsoft. На їх думку (детальний розбір цієї новини) така поведінка Google ставить під удар клієнтів Microsoft — адже розкриття навіть мінімального обсягу інформації про уразливості може призвести до того, що експлойт почне використовуватися набагато більш широко. Уразливість обіцяють закрити 9 листопада. А ось дискусії навколо етики дослідної роботи в ІБ будуть тривати ще довго, поки все нарешті не домовляться.

Критичні уразливості виявлені в MySQL і сумісних СУБД
Новость. Исследование Legal Hackers.
Для різноманітності — стандартні уразливостібез нюансів і срача. У вересні я вже згадував критичну уразливість в MySQL, яка на даний момент закрита. Першовідкривач, Давид Голунски з групи Legal Hackers вирішив не зупинятися на досягнутому і зарепортил дві нові серйозні уразливості, що зачіпають як MySQL, так і засновані на коді цієї СУБД форки MariaDB і Percona Server.

Примітно, що уразливості можуть використовуватися спільно, що забезпечує атакуючому повний доступ до схильною системі. Перша уразливість (CVE-2016-6663) дозволяє локальному користувачеві СУБД підвищити привілеї. Використовуючи цю проблему як точку опори, є можливість застосувати другу вразливість і отримати права рута. Друга уразливість (CVE-2016-6664) пов'язана з небезпечним поводженням MySQL з файлом error.log. До речі, для розвитку атаки можна використовувати і вересневу вразливість, якщо вона не була пропатчена.

Уразливості вже були закриті у всіх згаданих продуктах. Цікаве рішення вийшло у розробників MariaDB: вони оперативно закрили першу дірку (6663), а патч для другої залишили на потім. Аргумент простий: без «трампліна» отримати права суперкористувача не вийде.

Що ще сталося
Патчі для iTunes і панелі керування iCloud для платформи Windows.

Експерти «Лабораторії» опубликовали отчет про DDoS-атаки за третій квартал року. На порядку денному зростання частки DDoS-атак за допомогою Linux-машин (78,9%).

Давнину
«Goodbye-839»

Резидентний безпечний вірус, стандартно вражає завантажуються в пам'ять .COM-, .EXE — та OVL-файли. У неділю виконує мелодію «Goodbye America» рок-групи «Наутілус-Помпіліус». Перехоплює int 1Ch, 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 68.



Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.