Poznaliśmy sposób crackerów na Google (nowy Zero Day w MS Internet Explorer)
- Dodano: 15 January 2010
- Wprowadził: hcsl.pl
- Komentarze: 23
Niedawne doniesienia o udanych cyberatakach wymierzonych w Google, Adobe oraz wiele innych wiodących firm z branży informatycznej wywołał lawinę pytań, między innymi o sposób w jaki crackerom udało się przełamać korporacyjne zabezpieczenia. W końcu poznaliśmy odpowiedź.
Informacje o atakach, za którymi rzekomo stoją chińscy crackerzy, opublikowane zostały przez firmę Google wraz z deklaracją chęci zniesienia cenzury wyników wyszukiwania w chińskim serwisie google.cn. Gigant zapowiedział również, że nie wyklucza wycofania się z tego najszybciej rozwijającego się na świecie rynku internetowego. Tymczasem rozgorzała dyskusja na temat sposobu w jaki atak został przeprowadzony. Powszechnie podejrzewano słynną już lukę CVE-2009-4324, załataną kilka dni temu przez koncern Adobe w oprogramowaniu Reader oraz Acrobat. Prawda okazała się jednak inna.
Firma McAfee Labs, która zajęła się wykonaniem szczegółowej analizy ataku, opublikowała wyniki swego dochodzenia. Okazuje się, że do skutecznego przeprowadzenia ataku, włamywacze wykorzystali między innymi nieznaną do tej pory luką Zero Day obecną niemal we wszystkich wersjach przeglądarki Internet Explorer. W opublikowanym w międzyczasie poradniku zabezpieczeń Microsoft Security Advisory (979352) Microsoft ostrzega:
Our investigation so far has shown that Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4 is not affected, and that Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 are affected.
The vulnerability exists as an invalid pointer reference within Internet Explorer. It is possible under certain conditions for the invalid pointer to be accessed after an object is deleted. In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution.
Luka pozwala więc na zdalne wykonanie kodu w docelowym systemie i dotyczy między innymi najnowszej wersji przeglądarki (8) pracującej w dowolnej wersji systemu Windows, w tym najnowszym Windows 7! Do czasu pojawienia się poprawki bezpieczeństwa, wszyscy użytkownicy przeglądarki Internet Explorer będą więc narażeni na skuteczny atak.
George Kurtz z firmy McAfee Labs wspomniał także, że w atakach wykorzystano również kilka innych nieznanych do tej pory luk Zero Day, nie ujawnił jednak jakichkolwiek szczegółów na ich temat. Kurtz poinformował również, że jego zdaniem crackerzy nadali całej operacji kryptonim “Aurora”. Nazwa ta powtarza się bowiem w nazwach katalogów zawartych w kodzie analizowanego złośliwego oprogramowania.
Zdaniem Kurtza incydent ten jest również zapowiedzią nadejścia nowego rodzaju zagrożeń, bowiem tak zaawansowane i precyzyjnie wymierzone ataki APT (ang. advanced persistent threats) nie były do tej pory spotykane na taką skalę.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://siblog.mcafee.com/cto/operation-%...le-others/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
23 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Wygląda na to, że systemy, których używamy są tak mało przejrzyste, skomplikowane i poddatne na atak, że praktycznie nie ma możliwości obrony przed nakierowanym atakiem. Bronić się można tylko przeciw masowemu atakowi, który bazuje na niechęci do aktualizacji systemu i stare dziury.
Trochę straszno… wygląda na to, że niedługo wszystkie programy, które mają styczność z niezaufanym źródłem danych będą musiały siedzieć w osobnych, szczelnych sandboxach oddzielonych od reszty tak bardzo jak to będzie użyteczne.
W Androidzie każda aplikacja siedzi w swojej wirtualnej maszynie, Chrome od googla ma każdą stronę w osobnym procesie (nie wiem czy w VM), Firefox od wersji 4 też planuje każdą zakładkę wrzucić do osobnego procesu – będzie szybciej i będzie można dodać później jakiś sandbox jeżeli będzie potrzeba.
Systemy, które są w powszechnym użyciu.
akurat w chrome jak mi się jedna karta wywali to nie minie minuta i wszystkie leżą, ale ja to mam pecha do takich wynalazków, więc nie zwracajcie na mnie uwagi.
Czy to znaczy, że serwery Googla stoją na Windows Server?
To były ataki na desktopy pracowników, a nie serwery
Czyli ludzie z Google uzywaja IE zamiast Chrome?
ciezko mi sobie wyobrazic zeby nie testowali chociazby dzialania swoich serwisow pod IE – to ciagle miliony uzytkownikow.
Porządne rozeznanie 'terenu' i spore fundusze na badania luk… śmierdzi na odległość służbami specjalnymi lub 'cyberarmiami' rozwijanymi przez niektóre kraje.
Odnaleźli kilka luk Zero Day, napisali odpowiedni kod, wszystko ładnie zorganizowane pod kryptonimem Aurora. Ofiary: kilkanaście wielkich korporacji, nikt nie wykrył ataków w trakcie ich przeprowadzania. Akcja naprawdę robi wrażenie
.
Ja już spotkałem się z liczbą 20. A pewnie będzie sporo takich, które się nie przyznają, że zostały skutecznie zaatakowane.
Jakoś nie jestem zaskoczony. Pierwsze co bym podejrzewał, jeśli założyć scenariusz wykorzystania luki w aplikacji. Zaraz potem spojrzałbym na outlooka, msoffice, wmp. To najbardziej zabugowane aplikacje z częstymi exploitowalnymi błędami.
Smutne, że wiele firm i korporacji nadal używa oprogramowania z tak niskiej półki. Szczególnie gdy mają dostępne za darmo Firefoxa czy Operę.
Ja na ich miejscu od razu po instalacji windowsa (skoro już tak wybrali) zablokowałbym całkowicie IE i outlooka. WMP też w sumie pracownikom nie potrzebny, a jak muszą mieć odtwarzacz wideo, to istnieją o wiele lepsze.
Nie bierzesz tylko pod uwagę faktu, że IE jest zarządzalne z GPO a póki co GPO template pod Firefoxa są średnio stabilne.
Gwarantuje Ci natomiast, że z Outlook Express tylko wariat korzysta produkcyjnie.
Devil
To najczęściej analizowane aplikacje ze względu na swoją powszechność. Popatrz, że im popularniejszy staje się FF tym więcej w nim luk się znajduje… Popatrz ile luk masz znajdowanych w programach Adobe… Ten zły Microsoft ma naprawdę świetnych programistów ale w dużej aplikacji wszystkich błędów wyeliminować na etapie tworzenia oprogramowania zwyczajnie się nie da. Ja wiem, że fajnie jest jeździć po nielubianych firmach, że Twoja babcia ten kod by napisała lepiej…
Firefox ma otwarty kod, a mimo to trudno tam znaleźć błąd. Z prostej przyczyny: wszystkie trywialne błędu zostały już dawno naprawione. Pozostały jedynie te bardzo trudne do wykrycia.
IE ma zamknięty kod, a mimo to ciągle znajdowane są eksploitowalne błędy. Jak muszą być proste, skoro można je znaleźć nawet bez kodu. To ile musi być tych banalnych błędów jeszcze nie znalezionych, a dokładniej: jeszcze nie upublicznionych w postaci exploita? Pomijam już bardziej skomplikowane błędy w IE, a tych jest mnóstwo. Wystarczy spojrzeć, ile exploitów jest na miejsca, w których IE komunikuje się z zewnętrznymi wtyczkami albo językami skryptowymi (trudniejszy kod do zarządzania), np. WMP, JS, VBS. Myślisz, że skąd wzięła się moda na wyłączanie JS w Firefoxie?
Poza tym w Firefoxie exploitowalnych błędów praktycznie nie ma. W porównaniu do IE to Firefox jest czysty. A FF mocno goni IE (w Polsce już przegonił), więc nie pisz bzdur o tym, że zainteresowanie FF wśród crackerów jest mniejsze.
Oczywiście myślisz, że bughunt polega na czytaniu kodu źródłowego? Bzdura, polega na pracy z binarką, działającą aplikacją – tutaj źródła niewiele dają bo do przeprowadzenia ataku i tak często trzeba się babrać z rzeczami, których w kodzie źródłowym zwyczajnie nie ma…
Przejrzyj changelogi, regularnie krytyczne luki są. Prawda jest taka, że w linii 3.5 znaleziono więcej potencjalnie niebezpiecznych luk niż w IE8 od momentu wydania. http://www.mozilla.org/security/known-vulnerabili… – mało krytycznych błędów?
Mogę prosić o dowody?
Jeszcze wypowiem się o zainteresowaniu…
Co z tego, że FF jest coraz popularniejszy i jest częściej dziurawy niż IE jeżeli FF jest zdecydowanie częściej przez użytkowników aktualizowany? FF ma moduł do aktualizacji automatycznych, IE nie ma. Windows Update z wielu powodów jest przez masę użytkowników nieużywany – mit, że aktualizacje spowalniają system, 'skoro działa to nic nie zmieniam', posiadanie pirackiego systemu, system w firmie, gdzie zwyczajnie aktualizacji się nie robi profilaktycznie…
IE jest zdecydowanie `stabilniejszym` celem ataków, jak już w nim luka występuje to znaczna cześć systemów będzie podatna na atak przez długi czas, z FF jest inaczej. Poza tym 'FF goni IE' – na świecie FF nadal jest w mniejszości.
I widzisz, ataki na IE są zdecydowanie korzystniejsze – więcej potencjalnych ofiar, dłużej utrzymująca się podatność… FF dopiero zaczyna być w kręgu zainteresowań ludzi rozwijających malware.
brawa dla pracowników google – siedzieli na IE na kontach administracyjnych.
Chyba czas już, żeby firmy zakazały swoim pracownikom używania IE.
A admini skonfigurowali komputery do pracy z kontem użytkownika i najlepiej odinstalowali IE i outlooka.
Problem w tym, że do niektórych aplikacji, zwłaszcza biznesowych, IE jest niezbędne. To oczywiście nie jest dobrze, ale póki mamy taki stan rzeczy nie da się całkowicie zrezygnować z używania IE.
Smutne jest to że wiele firm, w tym i moja (duży bank) wykorzystuje Office (i to nie najnowszy), Outlooka, IE6 produkcyjnie do wszelkich operacji. Głowa mała jakie to głupie podejście i śmiech pusty mnie bierze na samą myśl – ale tak jest i nie zmienię tego ja ani nikt z developerów w z którymi pracuję.
Co tam office i IE6 …. ja widziałem niedawno w banku Windows 98 (nie muszę chyba mówić jak daleko potoczyła mi się szczęka).
Devil
Well this kind of info is actually worth looking for, wonderful information for readers and certainly shows good quality writing. Its cool to have these kinds of posts around to keep the information flow. Assisting these who seriously enjoy this, fantastic perform! Thanks once more for taking the time to put this online. I unquestionably liked each and every part of it.
I’ve lately started a blog, the knowledge you provide on this web site has helped me tremendously. Thanks for all of your time & work.