25 октября корпорация Microsoft обновила рекомендации по безопасности, связанные с серьезной ошибкой в Windows, и сообщила, что ее специалисты с максимальной интенсивностью работают над устранением ошибки. Между тем специалисты в области информационной безопасности заявляют, что количество атак с использованием данной уязвимости в файлах формата PDF резко возросло.
В финской компании F-Secure всплеск уровня спама, содержащего вредоносные документы в формате PDF, считают огромным.
Начавшиеся 23 октября атаки используют ошибки в Windows-версиях программ Adobe Systems — Reader и Acrobat. В Adobe подготовили исправления для последних версий этих программ; для старых версий исправлений пока нет.
Как утверждают исследователи, за PDF-атаками стоит известное сообщество хакеров Russian Business Network (RBN). Когда получатель открывает зараженный документ в формате PDF, начинается комбинированная атака троянских программ, загрузчиков и программ-невидимок. Она прерывает работу межсетевого экрана Windows и устанавливает шпионский код, который перехватывает всю информацию, вводимую в формы на Web-страницах, защищенных с помощью SSL.
«Microsoft выпустила обновление инструкций по безопасности в связи с обнаружением довольно ограниченной возможности атак с использованием PDF», — заявил сотрудник группы реагирования на проблемы безопасности Microsoft Билл Сиск.
По словам Кена Данхема из компании iSight Partners, в тех случаях, когда зараженным PDF-файлам удается инфицировать жертву атаки — Windows-систему, на компьютере устанавливается пара шпион-невидимка, который «подглядывает за пользователями и похищает финансовую и иную ценную информацию».
Вредоносные PDF-документы прикрепляются к спамерским посланиям, а имена соответствующих файлов могут быть, например, BILL.pdf, YOUR_BILL.pdf, INVOICE.pdf или STATEMET.pdf, говорится в бюллетене компании Symantec. (В самых последних атаках применяются другие заголовки темы письма, доставляющего файлы, и новые имена файлов PDF.) Они эксплуатируют уязвимость в обработчике протокола mailto.
Когда получатель открывает зараженный файл, запускается троянская программа под названием Pidief.a. Она отключает встроенный межсетевой экран Windows, а затем загружает на зараженный компьютер другую вредоносную программу, которая является специализированным загрузчиком и в свою очередь загружает на взломанный компьютер с серверов, находящихся под контролем RBN, шпиона и программу-невидимку.
Как утверждает Данхем, эти серверы RBN, как и обе вредоносные программы, уже знакомы специалистам.
«Они были использованы в сентябре 2006 года в атаках ‘нулевого дня’ с использованием уязвимости в языке векторной графики VML», — заявил он. Обнаруженную тогда уязвимость настолько интенсивно использовали хакеры, что специалисты по безопасности даже предложили неофициальное исправление, вынудив Microsoft вне расписания (что случается редко) выпустить собственное исправление.
«Мы узнали об открыто опубликованном эксплойте, примененном в ограниченном числе атак на наших клиентов, — пишет Сиск. — Это изменение обстановки заставило нас ввести в действие план по реагированию на происшествия в области безопасности».
В рамках данного плана Microsoft координирует свои действия со специалистами третьих фирм. Корпорация оказалась втянутой в эту ситуацию, поскольку, как признал Сиск, настоящая уязвимость находится в кодах систем Windows XP и Windows Server 2003, а не в программах Adobe, хотя атаки сейчас и используют зараженные PDF-файлы.
«Уязвимость находится в функции Microsoft Windows ShellExecute, — сообщил он. — Обновления от сторонних фирм (такие, как исправление, выпущенное Adobe), не ликвидируют уязвимость, а лишь закрывают направление атаки».
Это заявление подтверждает, что обновления Adobe, как и аналогичные исправления, выпущенные Mozilla для Firefox и Skype для своего пакета VoIP-коммуникаций, не потребовались бы, если бы в самой Windows появились исправления проблем, связанных с обработчиками протоколов URI. Именно они позволяют браузерам запускать другие программы по командам в URL.
Этим летом среди специалистов было немало споров о том, кто отвечает за уязвимости в обработчиках протоколов URI, — в то время они как раз начали появляться. В Microsoft отрицали, что вина лежит на ее программах, вплоть до того момента, когда была выпущена инструкция, о которой говорил Сиск, и когда было заявлено о разработке исправления.
«Не рискуя ошибиться, можно предположить, что в Microsoft постараются приурочить исправление к регулярному циклу выпуска обновлений в ноябре», — заявил директор по безопасности компании nCircle Network Security Эндрю Стормс.
Согласно расписанию, следующий день выхода обновлений — 13 ноября.
Глава компании SecureWorks Дон Джексон считает, что вредоносная программа, внедряемая RBN на компьютеры, является вариантом троянца Gozi, который, как он выявил в феврале, отвечает за кражу по меньшей мере 2 млн. долл. с банковских вкладов и кредитных карт.
«И тогда, и сейчас Gozi действует примерно одинаково, — сообщил Джексон. — Вся информация, введенная в форму на Web-странице, зашифрованной через SSL, похищается и отправляется хакерам из RBN». Практически все системы авторизации для Internet-банкинга, Internet-трейдинга, все системы заказов через сеть шифруются с помощью SSL, а потому подвергаются риску похищения Gozi.
Но, в отличие от февральского инцидента, когда в RBN случайно оставили открытым сервер с похищенными данными (его обнаружил Джексон), результаты нынешних атак неизвестны.
«Они более ответственно подошли к выбору места хранения похищенных данных», — отметил Джексон.
Если он прав относительно технического уровня хакеров RBN, объем украденных данных должен подтолкнуть Microsoft к скорейшему выпуску исправления.
«Эти ребята знают свое дело, — уверен Джексон. — В программировании они на уровне разработчиков ядра Windows. Они очень, очень талантливы. И стоит чуть приоткрыть дверь, как они немедленно вломятся внутрь».