Polak znalazł lukę w DirectX SDK

Krystian Kloskowski - polski specjalista ds. zabezpieczeń (znany pod pseudonimem h07) - znalazł nowy, niebezpieczny błąd w oprogramowaniu Microsoftu. Tym razem problem dotyczy zestawu narzędzi dla programistów tworzących rozwiązania oparte na DirectX - Kloskowski znalazł w nim lukę, która umożliwia wywołanie błędu przepełnienia bufora i uruchomienie w Windows niebezpiecznego kodu.

Przyczyną problemu jest błąd w zabezpieczeniach jednego z komponentów ActiveX, wchodzącego w skład DirectX Media 6.0 SDK - chodzi o kontrolkę FlashPix ActiveX. Okazuje się, że jest ona podatna na błąd przepełnienia bufora - aby do niego doprowadzić, wystarczy skłonić użytkownika do wyświetlenia w Internet Explorerze odpowiednio zmodyfikowanego dokumentu HTML. Takim dokumentem może być zarówno strona WWW, jak i e-mail w formacie HTML (lub załącznik do wiadomości).

Z analiz Polaka wynika, że na atak podatna jest przeglądarka Microsoftu w wersji 6 (IE6) - nie wiadomo na razie, czy problem dotyczy również najnowszego wydania (IE7). Microsoft na razie nie komentuje tych doniesień.

Rozmowa z Krystianem Kloskowskim, polskim hakerem, który znalazł lukę w DirectX SDK

PCWK: Jak groźna jest pańskim zdaniem ta luka?

Krystian Kloskowski Pakiet DXMedia SDK 6 jest już dość "stary" ale nadal wielu programistów z niego korzysta, co sprawia, że wadliwy moduł często przemycany jest do komputera przy instalacji jakiegoś oprogramowania i bez wiedzy użytkownika. Luka pozwala uruchomić dowolny kod (shellcode) przez specjalnie spreparowaną stronę internetową. Serwisy frsirt.com i secunia.com oceniły ten błąd jako krytyczny.

Kiedy została ona wykryta?

Luka została wykryta w czwartek 9 sierpnia a na następny dzień wysłałem demonstracyjny kod na stronę milw0rm.com.

Jak doszło do jej znalezienia? Czy to przypadek, czy po prostu analizował Pan produkty Microsoftu pod tym kątem?

Znalezienie tego błędu nie jest przypadkiem. Moją pasją jest poszukiwanie błędów w oprogramowaniu i zajmuje się tym już od dłuższego czasu. Miałem już kilka "sukcesów" w tej działalności, znalazłem między innymi lukę w firewalu XP SP2, błędy RPC w Microsoft Windows i szereg innych - np. w skanerze sieciowym Nessus. Wszystkie moje publikacje zawsze wysyłam na stronę milw0rm.com w formie exploitów 0day demonstrujących istnienie luk http://milw0rm.com/author/668 .

Z jakich narzędzi zwykle korzysta Pan do wykrywania luk?

Najważniejszym elementem jest wyobraźnia. Czasami siedzę godzinami nad jakimś oprogramowaniem

i myślę, gdzie jest jego najsłabszy punkt, gdzie programiści mogli coś przeoczyć. Gdy tylko wpadnie na jakiś pomysł, to rozpoczynam tworzenie odpowiednich narzędzi do testów (np. fuzzerów), najczęściej w języku python - po czym rozpoczynam śledzenie zachowania testowanej aplikacji, czy czasem coś się w niej nie "krzaczy" ;) To co robię jest moją pasją, nie mam z tego żadnych korzyści materialnych a jedynie satysfakcję.

Oficjalny alert w tej sprawie wydał już amerykański zespół Computer Emergency Response Team (US-CERT) - jego autorzy ostrzegają, iż problem jest poważny, ponieważ ewentualny atak może zostać przeprowadzony przy minimalnym udziale ze strony użytkownika. Według CERT, najbardziej prawdopodobnym scenariuszem takiego ataku będzie osadzenie exploita wykorzystującego błąd na stronie WWW, na którą "ofiara" może zostać zwabiona np. wiadomością e-mail lub poprzez komunikator.

Specjaliści z duńskiej firmy Secunia uznali lukę za "wysoce krytyczną" (jest to czwarty stopień zagrożenia w pięciostopniowej skali wykorzystywanej przez tę firmę - groźniejsze są tylko błędy oznaczone jako "ekstremalnie krytyczne").

Nie wiadomo na razie, kiedy przygotowane zostanie uaktualnienie usuwające ów problem - w związku z tym przedstawiciele US-CERT zalecają użytkownikom zagrożonej aplikacji wyłączenie w IE obsługi kontrolek ActiveX lub wprowadzenie zmian do Rejestru wyłączających tę konkretną kontrolkę (szczegółową instrukcję znaleźć można w alercie CERT-u).

Aktualizacja: 16 sierpnia 2007 11:29

Tekst został zaktualizowany - pojawiła się w nim rozmowa z Krystianem Kloskowskim, polskim hakerem, który znalazł lukę w DirectX SDK.


Zobacz również