Брешь в Windows: крупнейший удар по репутации Microsoft

  Игорь Каминский, cnews.ru
  

С самого своего появления DCOM как модель обмена данными в распределённых системах вызывала массу нареканий со стороны специалистов по безопасности систем. Во многих случаях специалисты указывали на явные недостатки модели, иллюстрируя свои замечания примерами . Однако Microsoft не хотел отказываться от DCOM в пользу конкурирующих программных архитектур как с точки программной совместимости — слишком много уже было наработано продуктов с использованием DCOM, так и с финансовой точки зрения.

Решение проблем с защитой информации при использовании DCOM и ранее перекладывалось на системных администраторов, которые по-разному решали их. Одни отключали использование DCOM в серверах, имеющих доступ к общественным информационным сетям. Другие устанавливали разнообразные аппаратные и программные системы защиты (межсетевые экраны). Обычные пользователи даже не подозревали о том, что в установленных ими версиях Microsoft Windows 2000 и Windows XP есть доступный и мощный инструмент для управления их компьютерами.

Наиболее печальным фактом явилось резкое падение стоимости труда системных администраторов. Их услуги после появления операционной системы с так называемым «дружественным к пользователю интерфейсом», по мнению работодателей, свелись к простой установке с компакт-диска определённой системы и необходимых для работы офиса компонент. Именно поэтому обязанности системных администраторов перекладывались на людей, далеких от информационной безопасности: прикладных программистов, студентов и т.д. В результате уровень системного администрирования в очень многих организациях снизился до самого нижнего предела. Ореол всемогущества вокруг головы современного хакера объясняется не его высочайшей квалификацией, а низким уровнем знаний системных администраторов.

Хроника проблемы

В середине лета (16 июля) текущего года хакерская группа Last Stage of Delerium опубликовала информацию об обнаруженной уязвимости во всех существующих на сегодняшний день стандартных инсталляциях Windows NT 4.0, Windows 2000, Windows XP, а также в широко разрекламированном новом продукте — Windows 2003. Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM. Хакеры решили не публиковать полное описание обнаруженной уязвимости и самого эксплоита, чтобы избежать появления червей.

Реакция софтверного гиганта была молниеносной. В Microsoft Security Bulletin MS03–026 от 16 июля 2003 г. компания подтвердила наличие уязвимости. Чуть позже (в редакции от 21 июля) были опубликованы ссылки на заплатки, закрывающие указанные бреши. Уязвимости был присвоен статус критической ошибки. Системным администраторам рекомендовалось немедленно установить заплатки.

Несколько дней спустя, 25 июля 2003 года, группа китайских хакеров xfocus публикует в интернете полное техническое описание уязвимости и код эксплоита. Оказалось, что ошибке подвержены системы со всеми установленными пакетами исправлений, включая Service Pack 4 для Windows 2000.

Технические особенности первых версий вредоносного кода вызывали сбои не во всех системах. Большое значение имели версия системы, язык локализации, установленные пакеты исправления и т.д. Однако в настоящее время в интернете можно абсолютно свободно найти исходный код эксплоита , позволяющий получить удаленный доступ к компьютеру через интерфейс командной строки (remote shell). Действиям разрушительного кода подвержены все версии систем на базе Windows 2000/XP, вне зависимости от локализации и установленных пакетов исправлений, если только не установлена заплатка, описанная в Microsoft Security Bulletin MS03–026.

Специалисты Microsoft по неизвестной причине до сих пор не закрыли брешь в RPC . Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe.

Пользователи, использующие коммутируемый доступ в интернет, должны быть готовы к тому, что их система на базе Windows 2000/XP может быть в любой момент времени атакована. Взломщик практически мгновенно может получить права администратора системы, похитить конфиденциальную информацию, установить троянские программы, клавиатурные шпионы и т.д.

Уязвимость устраняется либо с помощью установки отдельного программного межсетевого экрана и закрытия доступа к порту 135, либо полным отключением архитектуры DCOM. Последнее действие может привести к большому количеству проблем в функционировании многих программных продуктов.