Автоматический анализ патчей и генерация эксплоитов, пользователи Microsoft под угрозой?

Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей. В докладе сообщается о возможности автоматического создания эксплоита на только что вышедшую заплатку за весьма короткий срок.

О проекте

Проект под кодовым названием APEG (Automatic Patch-based Exploit Generation) был обнародован группой американских исследователей на прошлой неделе, заметка о котором была размещена на популярном сайте, посвященном безопасности - SecurityFocus.com. Цель исследования – создание механизма автоматической генерации эксплоитов на основе анализа бинарного кода исправлений от производителей (Microsoft).

Авторы исследования - David Brumley, Pongsin Poosankam, Dawn Song и Jiang Zheng – обвиняют Microsoft в использовании опасного метода распространения патчей: «Когда Microsoft выпускает патч, они, с точки зрения безопасности, говорят – Вот вам эксплоит». Исследователи в своем докладе говорят о возможности автоматического создания (за весьма короткий срок) эксплоита на только что вышедшую заплатку.

В документе говорится, что исследователям таким образом удалось создать эксплоиты к 5 распространенным уязвимостям:

http://www.securitylab.ru/vulnerability/274641.php (CVE-2006-3730)

http://www.securitylab.ru/vulnerability/270443.php (CVE-2006-1300)

http://www.securitylab.ru/vulnerability/262519.php (CVE-2006-0021)

http://www.securitylab.ru/vulnerability/301221.php (CVE-2007-3034)

http://www.securitylab.ru/vulnerability/205793.php (CVE-2005-1211)

Самый быстрый результат - 30 секунд для анализа патча и генерации эксплоита.
 
Так ли все плохо на самом деле?

Техника дизассемблирования патчей и написания PoC кода известна уже давно. Большинство компаний, выпускающих security-ориентированное ПО (системы обнаружения вторжения, антивирусы, межсетевые экраны и т.п.) получают все необходимые данные для создания сигнатур и предотвращения атак в течении 24 часов. И зачастую это происходит до того, как пользователь установит соответствующие заплатки. Здесь речь идет не только о Microsoft, но и о других компаниях, которые выпускают приложения с закрытым кодом. Авторы исследования громко называют APEG будущим злонамеренного ПО и обвиняют Microsoft в недостаточно безопасной организации работы механизма Windows Update.

Я попробую опровергнуть это «предсказание» будущего:

Прежде всего, далеко не каждая уязвимость может быть удачно эксплуатирована на большинстве систем, а именно количество потенциально уязвимых систем является решающим фактором для реализации подобного механизма в malware.

В данный момент процесс дизассемблирования патчей и создания PoC кода уже довольно неплохо автоматизирован, что позволяет получить тот же эксплоит в течении 24 часов.

Для чего реализовывать довольно сложную логику анализа патчей и создания эксплоитов, если до сих пор злоумышленники удачно эксплуатируют уязвимости 2-х годичной давности? Не думаю, что ситуация с установкой исправлений изменится в ближайшем будущем.

Эксплуатация уязвимостей в Web приложениях и распространение злонамеренного ПО через популярные Web сайты, используя уязвимости в браузерах и надстройках к ним, гораздо эффективнее и проще в реализации, чем эксплуатация системных компонентов ОС. И как правило данные о подобных уязвимостях попадают к производителям уже после их появления в паблике.

Мое общее впечатление от исследования – авторам очень хотелось «продвинуть» это исследование и лишний раз сказать заветную фразу «вендекапец» и «Microsoft во всем виновата».

Все желающие могут просмотреть данные исследования по адресу http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf.

PS. Авторы также предлагают методы борьбы с дизассемблированием патчей. Но все они, по моему мнению, не только не сделают обновления безопасными, но и могут привести к еще большим проблемам, связанным как с безопасностью так и со стабильностью работы системы.

А всем читателям, как всегда рекомендуем устанавливать вовремя исправления и следовать общим инструкциям по соблюдению правил безопасности работы в Интернет.

Валерий Марчук
www.SecurityLab.ru