Security Week 44: zero-day в Windows, уязвимость в ботнете Mirai, серьезные дыры в MySQL

У нас очередная неделя патчей с нюансами. Начнем с очередной новости про ботнет Mirai, использовавшийся для минимум двух масштабных DDoS-атак. Благодаря утечке исходников эта казалось бы одноразовая история превращается в масштабный сериал с сиквелами и приквелами. На этой неделе появился еще и спин-офф: исследователи из Invincea Labs откопали в атакующем коде Mirai три уязвимости (подробно в этой ^[1] новости или в оригинальном исследовании ^[2]).

Самая серьезная уязвимость приводит к переполнению буфера в коде Mirai. Проблема заключается в некорректной обработке заголовка HTTP Location, который может присутствовать в ответе атакуемого сервера. Код отвечает за удаление префикса http:// из полученной строки. Сделано это очень просто: берем длину строки и вычитаем из нее количество знаков префикса (семь штук). Если подсунуть в ответе очень короткий заголовок Location (из пяти символов), то у нас получится отрицательное число (5-7 = -2), что и приводит к переполнению буфера и сбою.

Важный момент: сбой происходит в процессе, выполняющем атаку. То есть можно таким образом прекратить атаку с зараженного устройства, но не выключить его из ботнета. В общем, получается какая-то очень знакомая, но перевернутая ситуация. Если бы речь шла о легитимной программе, мы бы говорили о «критической уязвимости, которая может быть легко эксплуатирована злоумышленником с помощью специально подготовленного ответа на http-запрос» или как-то так. Срочно патчить! А тут? По идее, наоборот, появляется возможность эффективно гасить атаки. Но возникает вопрос морально-этического плана: а не является ли эта процедура «взломом в ответ на взлом»?

Hacking back или, буквально, попытки атаковать атакующих действительно приводят к некоторым сложностям этического и юридического характера. Есть масса причин не взламывать сервера киберпреступников, даже если очень хочется, и известны имена, пароли и явки. Во-первых, это зачастую просто незаконно. Во-вторых, вы с большой вероятностью будете ломать не обитель зла, а ничего не подозревающего пользователя с трояном на компе. В-третьих, подобная практика вызовет естественное желание иметь остро заточенные инструменты атаки «на всякий случай», которые невероятно легко перекочуют на темную сторону. Ваш крестовый поход против киберзла в итоге оборачивается распространением вредоносного ПО.

Ладно, в контексте данной уязвимости Mirai вроде бы все безобидно: тут в общем-то нет никаких эксплойтов, вы просто немного меняете конфиг своего же веб-сервера. Но как я показал абзацем выше, концептуально такое действие ничем не отличается от эксплуатации уязвимости в добросовестном софте. Что советуют эксперты? Авторы отчета не советуют ничего: решайте мол сами. Тут даже сам анализ уязвимости Mirai с примерами из исходников непонятно как трактовать — то ли информируем общественность, то ли помогаем ботоводам лечить ботов.

Дожили.

Исследователи из Google обнародовали информацию об уязвимости нулевого дня в Windows до выпуска патча. В Microsoft недовольны.
Новость ^[3]. Пост ^[4] в блоге команды исследования угроз Google.

31 октября группа исследователей-безопасников из Google опубликовала краткое описание уязвимости нулевого дня в Windows. Уязвимость позволяет локально повысить привилегии пользователя и может быть использована в механизме «побега из песочницы». Компании Microsoft исследователи передали информацию об обнаруженной уязвимости 21 октября, дав всего семь дней на разработку патча. Вот здесь начинается интересный момент: общепринятое «время ожидания» (пока вендор готовит и распространяет заплатку) составляет несколько недель, а в данном случае срок оказался гораздо меньше. Microsoft не смогла вовремя закрыть уязвимость: получилось что в Google распространили данные о серьезной проблеме в то время, как решения не существует. Хотя, например, в Chrome был добавлен «костыль», делающий невозможным эксплуатацию «побега» именно в этом браузере.

Почему так? У Google есть публичный документ ^[5], в котором подробно расписаны сроки ожидания для тех уязвимостей, которые активно эксплуатируются. По мнению исследователей этой компании, для in-the-wild эксплойтов лучше распространить информацию, чтобы о проблеме знали и пытались что-то сделать самостоятельно, если уж вендор не поспел с заплаткой или хотя бы анонсом. Кстати, 21 октября Google отправила информацию об уязвимости еще в Adobe по поводу Flash, и вот там как раз все успели ^[6].

Проблема в том, что общепринятых норм этикета во взаимоотношениях вендоров и исследователей не существует. Очевидно что аргументы Google справедливы, но так же справедливы и контр-аргументы Microsoft. По их мнению (подробный разбор в этой новости ^[3]) такое поведение Google ставит под удар клиентов Microsoft — ведь раскрытие даже минимального объема информации об уязвимости может привести к тому, что эксплойт начнет использоваться гораздо более широко. Уязвимость обещают закрыть 9 ноября. А вот дискуссии вокруг этики исследовательской работы в ИБ будут продолжаться еще долго, пока все наконец не договорятся.

Критические уязвимости обнаружены в MySQL и совместимых СУБД
Новость ^[7]. Исследование ^[8] Legal Hackers.

Для разнообразия — стандартные уязвимости без нюансов и срача. В сентябре я уже упоминал критическую уязвимость в MySQL, которая на данный момент закрыта. Первооткрыватель, Давид Голунски из группы Legal Hackers решил не останавливаться на достигнутом и зарепортил две новые серьезные уязвимости, затрагивающие как MySQL, так и основанные на коде этой СУБД форки MariaDB и Percona Server.

Примечательно, что уязвимости могут использоваться совместно, что в обеспечивает атакующему полный доступ к подверженной системе. Первая уязвимость (CVE-2016-6663) позволяет локальному пользователю СУБД повысить привилегии. Используя эту проблему как точку опоры, есть возможность применить вторую уязвимость и получить права рута. Вторая уязвимость (CVE-2016-6664) связана с небезопасным обращением MySQL с файлом error.log. Кстати, для развития атаки можно использовать и сентябрьскую уязвимость, если она не была пропатчена.

Уязвимости уже были закрыты во всех упомянутых продуктах. Интересное решение получилось у разработчиков MariaDB: они оперативно закрыли первую дыру (6663), а патч для второй оставили на потом. Аргумент простой: без «трамплина» получить права суперпользователя не выйдет.

Что еще произошло:
Патчи ^[9] для iTunes и панели управления iCloud для платформы Windows.

Эксперты «Лаборатории» опубликовали ^[10] отчет ^[11] о DDoS-атаках за третий квартал года. На повестке дня продолжающийся рост доли DDoS-атак с помощью Linux-машин (78,9%).

Древности

«Goodbye-839»

Резидентный неопасный вирус, стандартно поражает загружаемые в память .COM-, .EXE- и OVL-файлы. В воскресенье исполняет мелодию «Goodbye America» рок-группы «Наутилус-Помпилиус». Перехватывает int 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 68.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[12]