Появился эксплоит к уязвимости, которой подвержены сотни приложений

Несколько дней назад стало известно о том что баг в Apple iTunes под Windows, закрытый в версии 9.1, оказался гораздо серьёзнее, чем предполагалось. По словам Эйч Ди Мура (автор известной программы Metasploit), он не исключителен для iTunes, а присутствует ещё примерно в 40 программах Windows, включая Windows-шелл, и Microsoft никак не сможет его закрыть одним патчем. Для каждого приложения придётся выпустить отдельное обновление.

Тогда, названия приложений не сообщались, чтобы не выдать механизм создания эксплойта. Однако Эйч Ди Мур заметил, что этот баг похож на недавно обнаруженную белорусами уязвимость с ярлыками Windows, которая была закрыта внеочередным патчем Microsoft от 2 августа. Эйч Ди Мур обнаружил новую уязвимость как раз тогда, когда изучал баг с ярлыками. Здесь злоумышленник может подгрузить на машину жертвы .dll после того как пользователь откроет «безопасный» файл с сетевого диска. Атака возможна через браузер или другую программу, например, офисные приложения с внедрённым контентом.

Эксплоит к новой уязвимости, которой подвержены сотни приложений, появился в Metasploit. А появление эксплоита к уязвимости, которая позволяет выполнять произвольный код на уязвимых компьютерах, означает начало широкомасштабной атаки хакеров, предупреждают эксперты.

"Раз эксплоит попал в Metasploit, у хакеров не займет много времени на выполнение широкомасштабной атаки", - говорит директор nCircle Security. "Саму трудную часть за них уже сделали".

HD Moore вчера выпустил новый эксплоит к обнаруженной на прошлой неделе уязвимости и вдобавок к нему - программу для аудита, которая определяет наличие небезопасных приложений. Вместе - сканер и эксплоит - создают эффективный набор для проведения атак (DLL Hijacking), говорит Moore.

Уязвимость (DLL Hijacking) заключается в том, что многие Windows программы можно заставить подгружать исполняемые файлы из удаленных сетевых источников. В момент открытия, например, медийного файла программа начнет поиск требуемого DLL и первым обнаружит находящийся в той же директории файл. Таким образом хакер получит возможность выполнить на машине произвольный код.

Первоначально HD Moore говорил о 40 уязвимых приложения, однако сейчас уже речь идет более чем о 200 программах, которые можно обмануть таким образом.

Microsoft в настоящий момент выпустила описание ошибки (advisory), рекомендации по защите и программу для изменения способа, которым Windows ищет DLL файлы, однако полноценного патча нет и по видимому в ближайшее время не предвидится. Закрытие такой уязвимости может занять месяцы, говорят эксперты.

"Загрузка динамических библиотек - стандартная функция для Windows и других операционных систем, по самой сути многим приложениям нужно загружать библиотеки из текущей директории", - пишет представитель Microsoft Security Response Center. "Мы не можем исправить эту уязвимость не нарушив весь функционал. Вместо этого самим разработчикам необходимо убеждаться в безопасной загрузке правильного кода". Сам HD Moore рекомендует отключить WebDAV и заблокировать исходящие SMB коннекции по 445 и 139 порту.