Хакерский код может спустить с цепи Windows-червя

  Роберт Лемос (Robert Lemos), CNET News.com, zdnet.ru
  

Предупреждение об этом появилось в пятницу, когда хакеры из китайской секьюрити-группы X Focus опубликовали исходный код в нескольких популярных списках рассылки. Программа использует пробел в защите операционной системы Microsoft, который позволяет атакующим дистанционно войти в компьютер. Эта брешь была охарактеризована некоторыми экспертами как самая широко распространенная за всю историю Windows. «Подобный эксплойт очень легко превратить в червя, — утверждает главный специалист компании eEye Digital Security Марк Мейфрет. — Я не удивлюсь, если мы очень скоро его увидим».

Многие специалисты по безопасности убеждены, что публикация такой информации может ускорить установку поправок системными администраторами компаний, однако выпуски эксплойтов предшествовали самым интенсивным атакам червей за несколько лет. Мейфрет и другие эксперты выразили беспокойство, что открывающаяся на предстоящей неделе в Лас-Вегасе конференция хакеров Defcon станет катализатором и подвигнет злонамеренных хакеров на создание и выпуск такого червя.

В январе по корпоративным сетям широко распространился червь Slammer, что привело к выходу из строя баз данных, прекращению работы банкоматов и даже отмене авиарейсов. За полгода перед этим один эксперт опубликовал код, который, используя серьезную уязвимость Microsoft SQL, был использован для распространения червя.

Мейфрету хорошо известно, как эксплойты и подробности об уязвимостях превращаются в злоумышленный код. В 2001 году его компания опубликовала детали другого пробела в защите Microsoft, находившегося в одном из компонентов веб-сервера. Спустя месяц именно этот механизм был использован для распространения червя Code Red.

Нужна ли гласность?

По мнению Мейфрета, который не одобряет публикацию кода эксплойтов, X Focus служит доказательством того, что эксплойты могут появляться и в том случае, когда предупреждения об уязвимостях не содержат технических деталей. В распоряжении хакеров и секьюрити-экспертов не было подробностей об уязвимости Windows, на которой основан этот код, тем не менее программа появилась довольно быстро.

Джефф Джоунс, старший директор инициативы Microsoft Trustworthy Computing, осудил создателей кода, заявив, что выпуск программы, использующей конкретную уязвимость, не помогает сделать компании более защищенными. «Мы уверены, что публикация эксплойтов в подобных случаях не сулит заказчикам ничего хорошего», — сказал он. Джоунс намекнул, что Microsoft может попытаться выявить источник червя и принять к нему меры. «Если выпуск эксплойтов защищен Первой поправкой к Конституции США, то преднамеренное использование этого кода является преступлением».

Microsoft выпустила предупреждение о данной уязвимости 16 июля. Это ошибка в компоненте операционной системы, который позволяет другим компьютерам обращаться к операционной системе Windows с запросами на действия или услуги. Этот компонент, называемый дистанционным вызовом процедур (RPC), обеспечивает такие действия, как разделение файлов и допуск других пользователей к принтеру, подключенному к компьютеру. Направляя избыточное количество данных в процесс RPC, атакующий может получить полный доступ к системе.

Китайский код работает только на трех редакциях Windows, но может подсказать квалифицированным хакерам, как воспользоваться данной уязвимостью.

«Я улучшил его»

Именно для этого использовал код Х.Д. Мур, специалист по безопасности и основатель компании Metasploit Project. Известный хакер и программист, он взял китайский код и усовершенствовал его. Теперь он работает по крайней мере с семью редакциями операционной системы, включая Windows 2000 Service Pack 0 — Service Pack 4 и Windows XP Service Pack 0/Service Pack 1. «Мне не нравятся недоделанные эксплойты, поэтому я улучшил его», — пояснил он.

Мур опубликовал свой усовершенствованный код на веб-сайте, размешенном в его домашней сети, и обнаружил, что программа вызывает неожиданно высокий интерес. Когда о коде узнали другие специалисты по безопасности, на сайт Мура каждую секунду начали поступать по 300-400 запросов на его загрузку. Наконец, в уикенд он решил перенести сайт к хостинг-провайдеру.

Мур уверен, что его код легко превратить в червя. «Пожалуй, это самая широко распространенная уязвимость, позволяющая дистанционно получить root-доступ, — говорит он. — Я не сомневаюсь, что такой червь появится».

Другой специалист по безопасности, попросивший не называть его имени, говорит, что особенно следует остерегаться финансовым компаниям. У заказчиков было всего две недели на оценку патча Microsoft и его установку — это нереальный срок для хронически перегруженных системных администраторов. «Это серьезная проблема, так как у них нет времени. Чтобы применить поправку к целой сети класса В (порядка 65 тыс. адресов), требуется несколько недель».

Но даже те компании, которые установили все поправки и приняли меры предосторожности для укрепления своих брандмауэров, должны убедиться, что они ничего не упустили, говорит Мейфрет из eEye. «Может получиться так же, как с червем SQL Slammer. Разрушения производились не снаружи, а внутри сети. Достаточно заразить один-единственный сервер. Когда сервер базы данных выходит из строя, перестают работать и другие серверы и компьютеры».