Автоматический анализ патчей и генерация эксплоитов, пользователи Microsoft под угрозой?

Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей. В докладе сообщается о возможности автоматического создания эксплоита на только что вышедшую заплатку за весьма короткий срок.

О проекте

Проект под кодовым названием APEG (Automatic Patch-based Exploit Generation) был обнародован группой американских исследователей на прошлой неделе, заметка о котором была размещена на популярном сайте, посвященном безопасности - SecurityFocus.com. Цель исследования – создание механизма автоматической генерации эксплоитов на основе анализа бинарного кода исправлений от производителей (Microsoft).

Авторы исследования - David Brumley, Pongsin Poosankam, Dawn Song и Jiang Zheng – обвиняют Microsoft в использовании опасного метода распространения патчей: «Когда Microsoft выпускает патч, они, с точки зрения безопасности, говорят – Вот вам эксплоит». Исследователи в своем докладе говорят о возможности автоматического создания (за весьма короткий срок) эксплоита на только что вышедшую заплатку.

В документе говорится, что исследователям таким образом удалось создать эксплоиты к 5 распространенным уязвимостям:

http://www.securitylab.ru/vulnerability/274641.php (CVE-2006-3730)

http://www.securitylab.ru/vulnerability/270443.php (CVE-2006-1300)

http://www.securitylab.ru/vulnerability/262519.php (CVE-2006-0021)

http://www.securitylab.ru/vulnerability/301221.php (CVE-2007-3034)

http://www.securitylab.ru/vulnerability/205793.php (CVE-2005-1211)

Самый быстрый результат - 30 секунд для анализа патча и генерации эксплоита.

Так ли все плохо на самом деле?

Техника дизассемблирования патчей и написания PoC кода известна уже давно. Большинство компаний, выпускающих security-ориентированное ПО (системы обнаружения вторжения, антивирусы, межсетевые экраны и т.п.) получают все необходимые данные для создания сигнатур и предотвращения атак в течении 24 часов. И зачастую это происходит до того, как пользователь установит соответствующие заплатки. Здесь речь идет не только о Microsoft, но и о других компаниях, которые выпускают приложения с закрытым кодом. Авторы исследования громко называют APEG будущим злонамеренного ПО и обвиняют Microsoft в недостаточно безопасной организации работы механизма Windows Update.

Я попробую опровергнуть это «предсказание» будущего:

Прежде всего, далеко не каждая уязвимость может быть удачно эксплуатирована на большинстве систем, а именно количество потенциально уязвимых систем является решающим фактором для реализации подобного механизма в malware.

В данный момент процесс дизассемблирования патчей и создания PoC кода уже довольно неплохо автоматизирован, что позволяет получить тот же эксплоит в течении 24 часов.

Для чего реализовывать довольно сложную логику анализа патчей и создания эксплоитов, если до сих пор злоумышленники удачно эксплуатируют уязвимости 2-х годичной давности? Не думаю, что ситуация с установкой исправлений изменится в ближайшем будущем.

Эксплуатация уязвимостей в Web приложениях и распространение злонамеренного ПО через популярные Web сайты, используя уязвимости в браузерах и надстройках к ним, гораздо эффективнее и проще в реализации, чем эксплуатация системных компонентов ОС. И как правило данные о подобных уязвимостях попадают к производителям уже после их появления в паблике.

Мое общее впечатление от исследования – авторам очень хотелось «продвинуть» это исследование и лишний раз сказать заветную фразу «вендекапец» и «Microsoft во всем виновата».

Все желающие могут просмотреть данные исследования по адресу http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf.

PS. Авторы также предлагают методы борьбы с дизассемблированием патчей. Но все они, по моему мнению, не только не сделают обновления безопасными, но и могут привести к еще большим проблемам, связанным как с безопасностью так и со стабильностью работы системы.

А всем читателям, как всегда рекомендуем устанавливать вовремя исправления и следовать общим инструкциям по соблюдению правил безопасности работы в Интернет.

Отправить комментарий

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote>
  • Строки и параграфы переносятся автоматически.
  • Поисковые системы будут индексировать и переходить по ссылкам на разрешённые домены.

Подробнее о форматировании

КАПЧА
Этот вопрос предназначен для проверки вашей принадлежности к Homo sapiens
CAPTCHA на основе изображений
Скопируйте буквы (соблюдая верхний и нижний регистры) с картинки.

Возможно, Вас заинтересует:

RSS-материал
Яндекс.Метрика