Αδυναμία ασφαλείας σε Windows και Office, προειδοποιεί η Microsoft

[NeK]

Κακόβουλοι χάκερ εκμεταλλεύονται μία ήδη γνωστή αδυναμία στα Microsoft Windows και στο Office που τους επιτρέπει να μολύνουν υπολογιστές με κακόβουλο λογισμικό, προειδοποίησε η Microsoft σε δημοσίευσή της την Τρίτη.

Το προηγμένο exploit (κακόβουλο λογισμικό που εκμεταλλεύεται αδυναμίες) βρίσκεται σε παγιδευμένο έγγραφο Word που έρχεται ως συνημμένο σε email, έγραψε την Τρίτη ο Elia Florio του Microsoft Security Response Center. Οι επιθέσεις είναι στοχευμένες σε συγκεκριμένα άτομα ή εταιρείες και βρίσκονται κυρίως στην Μέση Ανατολή και στην Νότια Ασία. Το κακόβουλο έγγραφο εκμεταλλεύεται μία αδυναμία στο graphics device interface της Microsoft που καθιστά δυνατό για αυτούς που επιτίθενται να εκτελέσουν απομακρυσμένα τον κώδικα της επιλογής τους.

"Εάν το συνημμένο ανοιχτεί ή το κάνετε προεπισκόπηση, επιχειρεί να εκμεταλλευτεί την αδυναμία χρησιμοποιώντας μία παραποιημένη εικόνα ενσωματωμένη στο έγγραφο", έγραψε ο Dustin Childs, μάνατζερ στο Microsoft Trustworthy Computing group σε μία άλλη προειδοποιητική ανακοίνωση. "Ένας επιτιθέμενος που έχει επιτυχώς εκμεταλλευτεί την αδυναμία μπορεί να αποκτήσει τα ίδια δικαιώματα με τον χρήστη του υπολογιστή". Mία τρίτη προειδοποιητική ανακοίνωση.

Η Microsoft έβγαλε μία προσωρινή επιδιόρθωση που μπορεί ο κόσμος να την εγκαθιστά και να χρησιμοποιεί, μέχρι κάποια μόνιμη γίνει διαθέσιμη. Αν και δεν διορθώνει την κύρια αιτία της αδυναμίας, η προσωρινή επιδιόρθωση μπλοκάρει την απεικόνιση εικόνων σε φορμάτ που ενεργοποιεί το πρόβλημα. Άλλα προσωρινά μέτρα για χρήστες Windows και Office είναι να τροποποιήσουν το μητρώο των Windows για να αποκλείσουν να απεικονίζονται TIFF εικόνες ή να εγκαταστήσουν την έκδοση 4.0 του EMET (Enhanced Mitigation Experience Toolkit).

Η αδυναμία προσβάλλει τα Microsoft Windows Vista και τα Windows Server 2008, Microsoft Office 2003 έως 2010 και όλες τις υποστηριζόμενες εκδόσεις του Microsoft Lync. Ο τρόπος με τον οποίο το Office 2010 αναπαράγει τα γραφικά το καθιστά ευάλωτο μόνο όταν τρέχει σε παλαιότερες πλατφόρμες όπως τα Windows XP ή τα Windows Server 2003. Το Office 2010 δεν επηρεάζεται όταν τρέχει σε Windows 7, 8 και 8.1.

Ο Florio δήλωσε ότι ο κακόβουλος κώδικας του exploit χρησιμοποιεί προηγμένες τεχνικές για να παρακάμψει τις προστασίες που οι μηχανικοί της Microsoft έχουν βάλει στις μετέπειτα εκδόσεις των Windows για να τα κάνουν ακόμα πιο ανθεκτικά σε επιθέσεις με εκτελέσιμο κώδικα.

"Προκειμένου να επιτύχει την εκτέλεση του κώδικα, το exploit συνδυάζει πολλαπλές τεχνικές για να παρακάμψει τις προστασίες DEP και ASLR", γράφει ο Florio που αναφέρεται στις Data Execution Prevetion και Address Space Layout Randomization τεχνικές προστασίας. "Συγκεκριμένα, ο κώδικας του exploit εκτελεί ένα μεγάλο heap-spray χρησιμοποιώντας ActiveX controls (αντί για την συνηθισμένη χρήση scripting) και χρησιμοποιεί ενσωματωμένα ROP gadgets για να καταλάβει εκτελέσιμα pages της μνήμης. Αυτό επίσης σημαίνει ότι το exploit αποτυχαίνει σε μηχανήματα που είναι ρυθμισμένα να μπλοκάρουν τα ActiveX controls που είναι ενσωματωμένα σε Office έγγραφα (π.χ. Protected View mode που έχει το Office 2010) ή σε υπολογιστές εξοπλισμένους με διαφορετική έκδοση του module που χρησιμοποιήθηκε για να φτιαχτούν τα ROP gadgets".

Το ROP σημαίνει Return Oriented Programming, μία τεχνική που βοηθά στην παράκαμψη του DEP μέσω της διευθέτησης κώδικα που υπάρχει ήδη στην εφαρμογή με τρόπο τέτοιο που του επιτρέπει να γίνει κακόβουλο. Μόλις τα Windows, το Office ή το Lync επεξεργαστούν τα κακόβουλα σχεδιασμένα TIFF αρχεία, η μνήμη του συστήματος φθείρεται με τέτοιο τρόπο που επιτρέπει στον επιτιθέμενο να εκτελέσει αυθαίρετο κώδικα. Η Microsoft αναγνώρισε τον Haifei Li της ομάδας IPS του McAfee Labs για την αναφορά που έκανε για την αδυναμία αυτή.

Ο Haifei Li είπε ότι η τεχνική του exploit είναι καινοφανής.

"Αξίζει να σημειωθεί ότι αυτό το heap-spray στο Office μέσω των ActiveX αντικειμένων είναι μια νέα μέθοδος που δεν το έχουμε ξαναδεί", γράφει ο Li σε μία ξεχωριστή δημοσίευση στο blog του. "Προηγουμένως οι επιτιθέμενοι χάκερ συνήθως επέλεγαν τον Flash Player για να "ψεκάσουν" την μνήμη του Office. Πιστεύουμε ότι αυτό το κόλπο αναπτύχθηκε λόγω του ότι η Adobe εισήγαγε μία click-to-play λειτουργία στον Flash Player πριν λίγους μήνες που βασικά αποτελείωσε το παλιό κόλπο. Αυτή είναι μία ακόμα απόδειξη ότι η επιτιθέμενη τεχνική πάντα προσπαθεί να εξελιχθεί όταν οι παλιές δεν λειτουργούν πια".

Τα καλά τα νέα από αυτές τις ανακοινώσεις είναι ότι οι επιθέσεις που παρατηρήθηκαν μέχρι τώρα είναι εξαιρετικά στοχευμένες, σε αντίθεση με άλλα exploits που εμφανίζονται συχνά σε websites που έχουν γίνει hack. Επίσης ενθαρρυντικό είναι ότι μόνο ένα μικρό μέρος του οικοσυστήματος της Microsoft επηρεάζεται. Παρόλα αυτά, είναι δυνατόν οι επιθέσεις να είναι πιο ευρείες από όσο έχει αναφερθεί γιατί δεν ασυνήθιστο στις αρχικές προειδοποιήσεις να τους διαφεύγουν κάποιες δραστηριότητες. Όσοι έχετε λογισμικό που έχει αυτή την αδυναμία καλό θα κάνετε να εγκαταστήσετε την προσωρινή επιδιόρθωση και να ενημερώνεστε για τις τελευταίες εξελίξεις σχετικά με αυτή την επίθεση.

Πηγή: Ars Technica

[Helix]

Windows και exploits; Πέφτω από τα σύννεφα...

[tsigarid]

Τίποτα καινούριο, σου έρχεται κάτι με attachment και πρέπει να κάνει βλακεία ο χρήστης.

Windows και exploits; Πέφτω από τα σύννεφα...

Haters will hate.

[Helix]

Haters will hate.

Fanboys will love

[tsigarid]

Fanboys will love

Μακάριοι οι πτωχοί τω πνεύματι

[Helix]

Μακάριοι οι πτωχοί τω πνεύματι

[Ant0n1z]

Τίποτα καινούριο, σου έρχεται κάτι με attachment και πρέπει να κάνει βλακεία ο χρήστης.

Αυτό ακριβώς.

[aroutis]

Τίποτα καινούριο, σου έρχεται κάτι με attachment και πρέπει να κάνει βλακεία ο χρήστης.

To να εξαρτάσαι από την εξυπνάδα του χρήστη ειναι αυτοκτονικό.
Δεν αποτελεί κάποιου είδους θετικό επιχείρημα αυτό που λες.

Μακάριοι οι πτωχοί τω πνεύματι

Δυστυχώς θα συμφωνήσω...

[tsigarid]

To να εξαρτάσαι από την εξυπνάδα του χρήστη ειναι αυτοκτονικό.
Δεν αποτελεί κάποιου είδους θετικό επιχείρημα αυτό που λες.

Δεν το είπα σαν θετικό επιχείρημα, αλλά για να τονίσω το "τίποτα καινούριο". Προφανώς και δεν εξαρτάσαι από την εξυπνάδα του χρήστη, για το λόγο αυτό είναι απαραίτητη η εκπαίδευση του χρήστη και ένα καλό antivirus. Αυτό όμως είναι μεγάλη κουβέντα.

[Helix]

Για την ασφάλεια του χρήστη είναι καλό τόσο να ακολουθεί σωστές πρακτικές (aka δεν τρέχω ότι βρώ στο internet) όσο και λειτουργεί σε ένα σύστημα που παρέχει μια επιπλέον ασφάλεια σε κακόβουλο λογισμικο

[murray]

Πριν λίγες μέρες βγήκε ανακοίνωση για τους κινδύνους του End Of Life λογισμικού και τώρα σκάει και απτό παράδειγμα;

[ermis333]

Πως αλλιώς θα αναγκάσει η Microsoft τον κόσμο να πάρει windows 8 και office 2013;

[Zakk_Wylde]

Social engineering is using deception, manipulation and influence to convince a human who has access to a computer system to do something, like click on an attachment in an e-mail.
Kevin Mitnick

The human side of computer security is easily exploited and constantly overlooked. Companies spend millions of dollars on firewalls, encryption, and secure access devices and it's money wasted because none of these measures address the weakest link in the security chain: the people who use, administer, operate and account for computer systems that contain protected information. . . .
επίσης...

οπότε όσοι το παίζουν γνώστες ας γράψουν καμία γραμμή κώδικα, ας κολλήσουν καμία πλακέτα πρώτα και μετά να κατηγορήσουν κάποια εταιρία... και για να μην παρεξηγηθώ ως συνήθως, δεν λέω πως η MS είναι εντάξει με τους πελάτες της αλλά μην περιμένουμε προγράμματα 10ετίας+ να είναι επαρκή σε θέματα ασφαλείας, όταν ακόμα και τα linux-unixοειδή έχουν κενά που μπορεί κάποιος να τα εκμεταλευτεί άνετα... Δεν γίνεται να τα έχεις όλα, ειδικά σε θέματα ασφαλείας εκτός αν έχεις τον υπολογιστή σου μέσα σε κλωβό θωρακισμένου τσιμέντου πάχους 1 μέτρου ενισχυμένου με μόλυβδο και τα καλώδιά του να περνάνε μέσα από κάτι ανάλογο όπως έχουν κάνει σοφά κάποιες μεγάλες εταιρίες...

[Dark Demis]

Πως αλλιώς θα αναγκάσει η Microsoft τον κόσμο να πάρει windows 8 και office 2013;

καταργώντας το skype και δίνοντας δυνατότητα να το εχεις μόνο για metro

[chrismfz]

καταργώντας το skype και δίνοντας δυνατότητα να το εχεις μόνο για metro

/offtopic ευκαιρία να πάει λαός (έστω και λίγος) σε ανοιχτά πρωτόκολλα και σε clients στυλ jitsi / pidgin