Брешь в Windows: крупнейший удар по репутации Microsoft
Никакая другая операционная система не имеет стольких сторонников и стольких противников, как Windows. Распространенность этой ОС заставляет огромную армию хакеров во всем мире неустанно искать новые бреши в защите. Недавно обнаруженная уязвимость, связанная с использование DCOM, может стать самой критической ошибкой, ставящей более половины пользователей Windows, а вместе с ними и саму компанию под удар. С самого своего появления DCOM как модель обмена данными в распределённых системах вызывала массу нареканий со стороны специалистов по безопасности систем. Во многих случаях специалисты указывали на явные недостатки модели, иллюстрируя свои замечания примерами. Однако Microsoft не хотел отказываться от DCOM в пользу конкурирующих программных архитектур как с точки программной совместимости слишком много уже было наработано продуктов с использованием DCOM, так и с финансовой точки зрения.Решение проблем с защитой информации при использовании DCOM и ранее перекладывалось на системных администраторов, которые
Наиболее печальным фактом явилось резкое падение стоимости труда системных администраторов. Их услуги после появления операционной системы с так называемым «дружественным к пользователю интерфейсом», по мнению работодателей, свелись к простой установке с
Хроника проблемы
В середине лета (16 июля) текущего года хакерская группа Last Stage of Delerium опубликовала информацию об обнаруженной уязвимости во всех существующих на сегодняшний день стандартных инсталляциях Windows NT 4.0, Windows 2000, Windows XP, а также в широко разрекламированном новом продукте Windows 2003. Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM. Хакеры решили не публиковать полное описание обнаруженной уязвимости и самого эксплоита, чтобы избежать появления червей.
Реакция софтверного гиганта была молниеносной. В Microsoft Security Bulletin MS03026 от 16 июля 2003 г. компания подтвердила наличие уязвимости. Чуть позже (в редакции от 21 июля) были опубликованы ссылки на заплатки, закрывающие указанные бреши. Уязвимости был присвоен статус критической ошибки. Системным администраторам рекомендовалось немедленно установить заплатки.
Предыстория вопроса Для того чтобы приложения различной степени сложности могли совместно работать по каналам связи, необходимо обеспечить между ними надежные и защищенные соединения, а также создать специальную систему, которая направляет программный трафик. С начала 1990-х годов над решением этой задачи трудятся три конкурирующие группы разработчиков. Одну из них консорциум Object Management Group (OMG) поддерживают компании IBM, Sun Microsystems и ряд других производителей. В 1991 году OMG предложил архитектуру распределенных вычислений, получившую название Common Object Request Broker Architecture (CORBA). Сегодня она применяется многими крупными организациями для развертывания распределенных вычислений в масштабах предприятия на базе Distributed Component Object Model (DCOM) программная архитектура, разработанная компанией Microsoft для распределения приложений между несколькими компьютерами в сети. Программный компонент на одной из машин может использовать DCOM для передачи сообщения (его называют удаленным вызовом процедуры) к компоненту на другой машине. DCOM автоматически устанавливает соединение, передает сообщение и возвращает ответ удаленного компонента. (Фрэнк Хэйес) |
Технические особенности первых версий вредоносного кода вызывали сбои не во всех системах. Большое значение имели версия системы, язык локализации, установленные пакеты исправления и т.д. Однако в настоящее время в интернете можно абсолютно свободно найти исходный код эксплоита, позволяющий получить удаленный доступ к компьютеру через интерфейс командной строки (remote shell). Действиям разрушительного кода подвержены все версии систем на базе Windows 2000/XP, вне зависимости от локализации и установленных пакетов исправлений, если только не установлена заплатка, описанная в Microsoft Security Bulletin MS03026.
Эксплоит можно скомпилировать под Linux/FreeBSD и WIN32. В интернете также можно найти комплект скриптов, осуществляющий поиск незащищённых систем, которые впоследствии могут быть атакованы.
Специалисты Microsoft по неизвестной причине до сих пор не закрыли брешь в RPC. Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу
Пользователи, использующие коммутируемый доступ в интернет, должны быть готовы к тому, что их система на базе Windows 2000/XP может быть в любой момент времени атакована. Взломщик практически мгновенно может получить права администратора системы, похитить конфиденциальную информацию, установить троянские программы, клавиатурные шпионы и т.д.
Уязвимость устраняется либо с помощью установки отдельного программного межсетевого экрана и закрытия доступа к порту 135, либо полным отключением архитектуры DCOM. Последнее действие может привести к большому количеству проблем в функционировании многих программных продуктов.