На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-7-28 на главную / новости от 2003-7-28
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 28 июля 2003 г.

Хакерский код может спустить с цепи Windows-червя

Китайская хакерская группа выпустила код, который, используя распространенную ошибку Windows, делает возможными серьезные атаки на Windows-компьютеры.

Предупреждение об этом появилось в пятницу, когда хакеры из китайской секьюрити-группы X Focus опубликовали исходный код в нескольких популярных списках рассылки. Программа использует пробел в защите операционной системы Microsoft, который позволяет атакующим дистанционно войти в компьютер. Эта брешь была охарактеризована некоторыми экспертами как самая широко распространенная за всю историю Windows. «Подобный эксплойт очень легко превратить в червя, — утверждает главный специалист компании eEye Digital Security Марк Мейфрет. — Я не удивлюсь, если мы очень скоро его увидим».

Многие специалисты по безопасности убеждены, что публикация такой информации может ускорить установку поправок системными администраторами компаний, однако выпуски эксплойтов предшествовали самым интенсивным атакам червей за несколько лет. Мейфрет и другие эксперты выразили беспокойство, что открывающаяся на предстоящей неделе в Лас-Вегасе конференция хакеров Defcon станет катализатором и подвигнет злонамеренных хакеров на создание и выпуск такого червя.

В январе по корпоративным сетям широко распространился червь Slammer, что привело к выходу из строя баз данных, прекращению работы банкоматов и даже отмене авиарейсов. За полгода перед этим один эксперт опубликовал код, который, используя серьезную уязвимость Microsoft SQL, был использован для распространения червя.

Мейфрету хорошо известно, как эксплойты и подробности об уязвимостях превращаются в злоумышленный код. В 2001 году его компания опубликовала детали другого пробела в защите Microsoft, находившегося в одном из компонентов веб-сервера. Спустя месяц именно этот механизм был использован для распространения червя Code Red.

Нужна ли гласность?
По мнению Мейфрета, который не одобряет публикацию кода эксплойтов, X Focus служит доказательством того, что эксплойты могут появляться и в том случае, когда предупреждения об уязвимостях не содержат технических деталей. В распоряжении хакеров и секьюрити-экспертов не было подробностей об уязвимости Windows, на которой основан этот код, тем не менее программа появилась довольно быстро.

Джефф Джоунс, старший директор инициативы Microsoft Trustworthy Computing, осудил создателей кода, заявив, что выпуск программы, использующей конкретную уязвимость, не помогает сделать компании более защищенными. «Мы уверены, что публикация эксплойтов в подобных случаях не сулит заказчикам ничего хорошего», — сказал он. Джоунс намекнул, что Microsoft может попытаться выявить источник червя и принять к нему меры. «Если выпуск эксплойтов защищен Первой поправкой к Конституции США, то преднамеренное использование этого кода является преступлением».

Microsoft выпустила предупреждение о данной уязвимости 16 июля. Это ошибка в компоненте операционной системы, который позволяет другим компьютерам обращаться к операционной системе Windows с запросами на действия или услуги. Этот компонент, называемый дистанционным вызовом процедур (RPC), обеспечивает такие действия, как разделение файлов и допуск других пользователей к принтеру, подключенному к компьютеру. Направляя избыточное количество данных в процесс RPC, атакующий может получить полный доступ к системе.

Китайский код работает только на трех редакциях Windows, но может подсказать квалифицированным хакерам, как воспользоваться данной уязвимостью.

«Я улучшил его»
Именно для этого использовал код Х.Д. Мур, специалист по безопасности и основатель компании Metasploit Project. Известный хакер и программист, он взял китайский код и усовершенствовал его. Теперь он работает по крайней мере с семью редакциями операционной системы, включая Windows 2000 Service Pack 0 — Service Pack 4 и Windows XP Service Pack 0/Service Pack 1. «Мне не нравятся недоделанные эксплойты, поэтому я улучшил его», — пояснил он.

Мур опубликовал свой усовершенствованный код на веб-сайте, размешенном в его домашней сети, и обнаружил, что программа вызывает неожиданно высокий интерес. Когда о коде узнали другие специалисты по безопасности, на сайт Мура каждую секунду начали поступать по 300-400 запросов на его загрузку. Наконец, в уикенд он решил перенести сайт к хостинг-провайдеру.

Мур уверен, что его код легко превратить в червя. «Пожалуй, это самая широко распространенная уязвимость, позволяющая дистанционно получить root-доступ, — говорит он. — Я не сомневаюсь, что такой червь появится».

Другой специалист по безопасности, попросивший не называть его имени, говорит, что особенно следует остерегаться финансовым компаниям. У заказчиков было всего две недели на оценку патча Microsoft и его установку — это нереальный срок для хронически перегруженных системных администраторов. «Это серьезная проблема, так как у них нет времени. Чтобы применить поправку к целой сети класса В (порядка 65 тыс. адресов), требуется несколько недель».

Но даже те компании, которые установили все поправки и приняли меры предосторожности для укрепления своих брандмауэров, должны убедиться, что они ничего не упустили, говорит Мейфрет из eEye. «Может получиться так же, как с червем SQL Slammer. Разрушения производились не снаружи, а внутри сети. Достаточно заразить один-единственный сервер. Когда сервер базы данных выходит из строя, перестают работать и другие серверы и компьютеры».

Его рекомендация: скорее установить патч и запретить уязвимый сервис. 

 Предыдущие публикации:
2003-07-17   Microsoft предупреждает о критической проблеме Windows
2003-07-18   Можно ли доверять поправкам Microsoft?
Обсуждение и комментарии
kvasim
28 Jul 2003 3:28 PM
скорее всего . то что эксплоит появлися после опубликования не то что случайность.
но другая причинно следственная связь.
те многие хакеры знают об уязвивимости( может кто и используют в своих целя - но ест-но не пбуликуют.. чем больше хакеров ней узнают( либо сами находят - либо по цепочке- некоторые расказывают разработчикам - те не суетется.. - эксполида (для конечного кракера еще нет - но "дыра есть".) потом до разработчиков дохдят слухи о опдготовке эксплоида - приходится открвать инфу. что бы админы были в курсе. - появляется экплоит( кторый невыгоден никому не хакерм нашедшие это баг.. не разработчикам.. не тем более админам..)
"дыра есть" - понимайте что кто нибуть о ней знает.
страшны не просто хакеры . а кракеры. и хаекры им помогающие. - и пишущие вирусы-черви .. а не опбликование инфы не приводит к состоянию "дыры нет".
 

kvasim
28 Jul 2003 3:33 PM
кстати вообщето нужно придумать другое название хакерам кторые пишут эксплоиды.
по большому счету их нельзя назвать хакерами.. но это уже не крекер.
ИМХО хакером можно назвать только того что сам может найти этот баг.( не важно по инфе или без).
 

prodigy_ - prodigy_mail.ru
28 Jul 2003 6:26 PM
А мне больше понравилась рекомендация "запретить уязвимый сервис"... :-) Это между прочим RPC, отвечающий за кучу всего в форточках. Тогда уж можно заодно сразу запрещать Server, Workstation, WMI и PnP...

И вообще. Коль пошла *такая* пьянка, режь последний Winlogon! :-)))
 

Павел
28 Jul 2003 9:16 PM
Прра-ально, запретить Windows как
"potentially viral software" - потенциально
вирусонесущее п/о ;)
 

CrazyAdmin
29 Jul 2003 10:45 AM
Все запретил... Кажется система стала надежнее!

P.S. Пишу с другого компа, т.к. мой теперь защищен...
 

kvasim
29 Jul 2003 11:40 AM
покупаете нашу супер защиту ( Always Power OFF) вашего компьютера..
вешается на шунр питания полностью изолирует ваш компьютер.
не один хакер не сможет воспользоватся вашим компьтером даже если получит к нему физический доступ .*
Always Power OFF это не только защита в течений всего для.. а защита 24/7/365.
дакже доступны модификации (Инвизибл)
 

 

← июнь 2003 21  22  23  24  25  28  29  30  31 август 2003 →
Реклама!
 

 

Место для Вашей рекламы!