Od luki do eksploita

Opublikowano kolejny eksploit, umożliwiający skuteczne ataki na Windows Vista i Windows Server 2008. Na tym przykładzie opiszemy proces wykorzystania luk w bezpieczeństwie.

Systemy operacyjne Microsoftu posiadają bogatą historię luk w bezpieczeństwie. Chociaż producent wydaje łaty, najostrzejsza krytyka dotyka go jednak za czas od zgłoszenia luki do wydania aktualizacji, która usunie daną podatność. Ponieważ proces ten nie jest idealny, wiele komputerów nie posiada zainstalowanych wymaganych aktualizacji. Z tego faktu korzystają organizacje przestępcze, które masowo przejmują kontrolę nad komputerami z Windows, organizując przejęte maszyny w sieci botnet.

Do przejęcia kontroli wymagana jest przynajmniej jedna możliwa do wykorzystania luka, która daje szansę uruchomienia obcego kodu na poziomie uprawnień systemowych. Luka, którą zgłoszono 7 września, jest taką właśnie podatnością i wynika z niewłaściwego przetwarzania pakietów sieciowych przez sterownik systemu SMB2, wykorzystywanego w systemach operacyjnych Windows Vista, Windows 2008 Server i Windows 7 RC. Starsze wersje jej nie posiadają, gdyż nie wykorzystują SMB2. Wspomniana podatność jest związana ze sterownikiem SRV2.SYS. Obecny w nim fragment kodu załamuje się, a ponieważ sterownik ten jest uprzywilejowany i niezbędny do pracy innych komponentów Windows, załamaniu ulega cały system, sygnalizując błąd STOP (PAGE_FAULT_IN_NONPAGED_AREA), popularnie zwany "niebieskim ekranem śmierci" (BSOD).

Wiele błędów w usługach sieciowych Windows było na tyle poważnych, że umożliwiało zdalne przejęcie kontroli nad atakowanym systemem. Zazwyczaj w początkowym stadium opracowania eksploita wywołuje się załamanie systemu i może służyć do ataków odmowy obsługi, dopiero w następnym etapie hakerzy dopracowują kod, który ma przejąć kontrolę nad systemem. Kolejnym stadium wykorzystania luki jest opracowanie mechanizmów masowego zarażania systemów i roznoszenia malware. Masowe wykorzystywanie danej luki kończy się, gdy producent wyda aktualizację usuwającą daną podatność i łatka ta zostanie zaaplikowana w większości komputerów.

Więcej na serwisie Computerworld.pl.


Zobacz również