25 октября корпорация Microsoft обновила рекомендации по безопасности, связанные с серьёзной ошибкой в Windows, и сообщила, что её специалисты работают над устранением ошибки в круглосуточном режиме. Но для многих может быть уже слишком поздно. Специалисты по безопасности заявляют, что количество атак хакеров с использованием данной уязвимости в файлах формата PDF резко возросло.
Финны обвиняют русских
В финской компании F-Secure, базирующейся в Хельсинки, всплеск уровня спама, содержащего вредоносные документы в формате PDF, считают «огромным».
Начавшиеся 23 октября атаки используют ошибки в версиях для Windows программ Adobe Systems - Reader и Acrobat. Компания Adobe в понедельник выпустила исправление для последних версий этих программ, но для старых версий исправления пока нет.
Как утверждают исследователи, за PDF-атаками стоит знаменитое киберпреступное сообщество Russian Business Network (RBN). Когда получатель открывает заражённый PDF, начинается комбинированная атака троянских программ, даунлоадеров и руткитов. Она прерывает работу межсетевого экрана Windows и устанавливает особый кодЭтот код перехватывает всю информацию, вводимую в любую форму на Web-страницах, зашифрованных с помощью SSL. Затем эта информация отправляется обратно в RBN.
«Microsoft выпустила обновление инструкций по безопасности в связи с обнаружением довольно ограниченной возможности атак с использованием PDF», - заявил член группы по реагированию на проблемы с безопасностью Microsoft Билл Сиск.
Подглядывают и похищают
По словам директора по оперативному реагированию компании iSight Partners Кена Данхема, в тех случаях, когда зараженным файлам PDF удается инфицировать жертву атаки - систему на базе Windows,- на компьютере устанавливается пара руткитов, которая "подглядывает и похищает финансовую и другую ценную информацию".
Вредоносные PDF-документы прикрепляются к спамерским электронным письмам, а имена файлов, под которыми они приходят, могут быть, например, BILL.pdf, YOUR_BILL.pdf, INVOICE.pdf или STATEMET.pdf, говорится в выпущенном во вторник бюллетене компании Symantec. Они эксплуатируют уязвимость в обработчике протокола mailto, о которой больше месяца назад сообщил живущий в Британии исследователь Петко Петков.
Когда получатель открывает зараженный файл PDF, запускается троянская программа под названием Pidief.a. Она отключает встроенный фаерволл Windows, а затем загружает на зараженный компьютер другую вредоносную программу. Вторая программа является специализированным даунлоадером и, в свою очередь, загружает на взломанный компьютер с серверов, находящихся под контролем RBN, два руткитовых файла.
Как утверждает Данхем, эти сервера RBN, как и оба руткитовых файла, уже знакомы специалистам. "Они - те же, что были использованы в сентябре 2006 года в атаках "нулевого дня" с использованием уязвимости в VML (язык векторной разметки, Vector Markup Language)", - заявил он. Обнаруженную тогда уязвимость настолько интенсивно использовали взломщики, что группа специалистов по безопасности разработала несанкционированное исправление, вынудив Microsoft в конце сентября вне расписания (что случается редко) выпустить свое исправление.
Microsoft делает все, что может
«На этой неделе мы узнали об открыто опубликованном коде для эксплуатации уязвимости, применённом в ограниченном числе атак на наших клиентов», - пишет Сиск в блоге компании. «Это изменение обстановки в области безопасности ввело в действие наш план по реагированию на происшествия в области безопасности программ (Software Security Incident Response Plan)». В рамках плана Microsoft координирует расследование с исследователями других компаний. Сиск заявил, что специалисты Microsoft по всему миру работают над созданием исправления в круглосуточном режиме.
Microsoft оказалась втянутой в ситуацию, поскольку, как признал Сиск, настоящая уязвимость находится в кодах систем Windows XP и Windows Server 2003, а не программ Adobe, хотя в настоящее время атаки и основаны на заражённых файлах PDF.
«Уязвимость, о которой говорится в инструкции, находится в функции Microsoft Windows ShellExecute», - сообщил он. «Обновления от сторонних фирм (такие, как исправление, выпущенное Adobe), не ликвидируют уязвимость, а лишь закрывают направление атаки.»
Это заявление пока что наиболее ясно подтверждает, что обновления Adobe, как и аналогичные исправления, выпущенные компанией Mozilla для Firefox и компанией Skype для её ведущего пакета VoIP-связи, не потребовались бы, если бы в самой Windows появились исправления проблем, связанных с обработчиками протоколов URI. Именно они позволяют браузерам запускать другие программы по командам в URL.
Кто ответит за уязвимости?
Этим летом среди исследователей было немало споров о том, кто отвечает за уязвимости в обработчиках протоколов URI – в то время они как раз начали появляться. В Microsoft энергично отрицали, что вина лежит на ее программах, вплоть до начала этого месяца, когда была выпущена инструкция, о которой говорил Сиск, и когда было заявлено о разработке исправления.
«Вероятно, это первое публичное признание Microsoft в том, что действительно существует уязвимость в Windows», - полагает директор по безопасности фирмы nCircle Network Security Эндрю Стормс. Хотя Microsoft не назвала точной даты выхода исправления уязвимости, используемой в настоящее время PDF-файлами из RBN, Стормс считает, что оно выйдет в будущем месяце. «Не рискуя ошибиться, можно предположить, что Microsoft постарается приурочить исправление к регулярному циклу выпуска обновлений в ноябре», - заявил он.
Согласно расписанию, следующий день выхода обновлений – 13 ноября.
В последних атаках с использованием PDF, как заявили в пятницу исследователи, применяются другие заголовки темы письма, доставляющего файлы, и новые имена файлов PDF. Как сообщают из F-Secure, среди тем спам-писем сейчас встречаются "Your credit report," "Your Credit File" и "Personal Finance Statement."
Хакеры стали умнее
Руководитель компании SecureWorks Дон Джексон считает, что вредоносная программа, внедряемая RBN на компьютеры, является вариантом трояна Gozi, который, как он выявил в феврале, отвечает за кражу по меньшей мере 2 млн. долл. с банковских вкладов и кредитных карточек.
«И тогда, и сейчас Gozi действует примерно одинаково, - сообщил Джексон. - Вся информация, введенная в форму на Web-странице, зашифрованной через SSL, похищается и отправляется хакерам из RBN». Практически все системы авторизации для онлайновых банковских систем и брокерских счетов и практически все системы заказов через сеть шифруются с помощью SSL и, таким образом, подвергаются риску похищения через Gozi.
Но, в отличие от февральского происшествия, когда RBN случайно оставила открытым сервер с похищенными данными (его нашел Джексон), результаты нынешних атак неизвестны. «Они более ответственно подошли к выбору места хранения данных», - отметил Джексон.
Если он прав относительно технического уровня хакеров RBN, объем украденных теперь данных должен подтолкнуть Microsoft к скорейшему выпуску исправления.
«Эти ребята знают свое дело, - уверен Джексон. - В программировании они на уровне разработчиков ядра Windows. Они очень, очень талантливы. И стоит чуть приоткрыть дверь, как они с помощью своего таланта немедленно вломятся внутрь».