Член команды Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил две критические уязвимости в драйвере TrueCrypt, который программа устанавливает в Windows-системах. Ошибки безопасности CVE-2015-7358, CVE-2015-7359 позволяют злоумышленникам осуществить эскалацию привилегий, получив полные права администратора и доступ ко всем данным пользователя даже в том случае, если они зашифрованы.
Уязвимости остались незамеченными во время независимого аудита кода приложения. Проверка состояла из двух этапов и проводилась инженерами iSEC Partners после того, как разработчики TrueCrypt внезпано заявили о закрытии проекта, сообщив о том, что в его коде могут содержаться уязвимости.
Форшоу считает, что найденные им уязвимости не являются бэкдорами. Исследователь заметил, что по всей видимости, участники аудита просто их не заметили.
Аудиторы фокусировались именно на поисках «закладок» в коде — подозрения в их наличии появились после странных заявлений первоначальных разработчиков TrueCrypt, которые так и остались анонимными.
Исследователь пока не представил подробных данных, заявив, что хочет дать авторам форков неделю на исправление багов. Поскольку инструмент более официально не развивается, то дыры безопасности напрямую в коде изначального приложения исправлены не будут. Тем не менее, ошибки были исправлены в открытой программе VeraCrypt, которая основана на TrueCrypt.
Версия VeraCrypt 1.15, выпущенная в конце сентября, содержит патчи для найденных Форшоу уязвимостей.
По словам эксперта исследовательского центра Positive Research Артема Шишкина, эксплуатировать найденные Форшоу уязвимости очень просто. «Встроенный статический верификатор на такое не жалуется, однако тот, кто «шарит» в безопасности, первым делом полезет это проверять». Эксперт не уверен в том, что уязвимости представляли собой «закладки»: «Сомнительно, скорее всего халтура, оставшаяся со времен Windows XP».
Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров предположил, что обнаруженные уязвимости действительно могли быть оставлены разработчиками TrueCrypt намеренно.
«Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает.
В свете этих фактов я, как профессиональный параноик, констатирую, что эти уязвимости вполне могут являться запланированными закладками. И тот факт, что они так похожи на «раздолбайство», делает их хорошими закладками, ибо специально созданные уязвимости довольно трудно сохранить незаметными».
По мнению Склярова, в ходе качественно проведенного аудита безопасности такие ошибки должны были быть обнаружены:
«В таких случаях всегда ищут конкретные типы уязвимостей — из описания похоже, что в проведенном аудите искали бэкдоры и алгоритмические закладки. А значит, хорошим аудитом подобные дыры должны быть обязательно выявлены».
Комментарии (27)
PerlPower
02.10.2015 13:43доступ ко всем данным пользователя даже в том случае, если они зашифрованы.
Это как?
EagleXK
02.10.2015 13:59Там ведь дальше дано объяснение:
Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает.
BiTHacK
02.10.2015 14:05Кто-нибудь из присутствующих здесь нашёл уязвимый участок кода?
Scratch
02.10.2015 14:43+5В Veracrypt можно глянуть диффы по патчам, которые их закрывают
BiTHacK
02.10.2015 14:54+12Если вдруг кому интересно и лень искать:
https://github.com/veracrypt/VeraCrypt/commit/b7f9df6e4f09ba342fdbbadc63af5062cc57eaf2
https://github.com/veracrypt/VeraCrypt/commit/9b24da3398581da1fa66c6b8f682bbcfa7ded4fd
grau1812
02.10.2015 15:33Данная уязвимость затрагивает только зашифрованные «на лету» разделы (для этого нужен драйвер) или обычные контейнеры так же? Иными словами: что делать в случае наличия созданных отдельных контейнеров? Мигрировать на Vera и конвертировать их в формат VeraCrypt?
Guest
03.10.2015 00:54получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора
в случае контейнера, если я верно понимаю, он УЖЕ должен быть расшифрован и смонтирован.
мигрировать, а почему нет?
зачем их конвертировать? новые создать и туда перекинуть данные просто.
quozd
02.10.2015 16:31+4Господа параноики, так чем таки пользоваться нынче? Куда бежать? Я как-то потерялся в обилии форков и других проектов. Хочу кросплатформенно.
OnYourLips
02.10.2015 17:06+1Veracrypt
https://veracrypt.codeplex.com/
maseal
02.10.2015 20:26они кроме codeplex параллельно ещё и в другие репозитории коммитят:
github.com/veracrypt/VeraCrypt
bitbucket.org/veracrypt/veracrypt
время коммитов во все репозитории примерно одинаковое
a553
03.10.2015 10:07На андроиде как-то монтировать VeraCrypt контейнеры возможно? Или умеет ли VeraCrypt полноценно работать с TrueCrypt контейнерами?
Arvur
06.10.2015 16:10Пользоваться старой проверенной версией TrueCrypt и не поддаваться нагнетаемой панике.
Тогда не придется задумываться о закладках в VeraCrypt, например ;-)quozd
06.10.2015 16:15-1Тогда придется задумываться о закладках в старом TrueCrypt и насиловать глаза убогим интерфейсов на высокоплотном экране. Эх, мечты.
a553
13.10.2015 23:13TrueCrypt прекрасно работает с hi-dpi.
quozd
14.10.2015 09:43Не знаю как у вас, но у меня все шрифты — жуткое мыло. www.dropbox.com/s/ur2iqrzfyul7ikp/Screenshot%202015-10-14%2009.41.52.png?dl=0
SabCoopers
02.10.2015 16:46+2Я не совсем уловил степень критичности данной уязвимости.
Есть ли смысл волноваться, если я пока нахожусь в статусе неуловимого Джо и в ближайшие несколько лет, ребята из АНБ и ФСБ вряд ли заинтересуются моей конфиденциальной инфой?
Sap_ru
03.10.2015 01:09Как показывает опыт, всякого рода китайы очень активно подобыне уязвимости эксплуатируют для массового сбора информации. И даже чёрт с ними с китайцами, но в последнее время всё больше появляется троянов, которые через уязвимости реализуют поиск конфиденциальной информации (электронные кошельки и т.п.).
art9
03.10.2015 18:12Я немного туповат, поэтому не понял, в какой момент уязвимость может быть использована. Например, если контейнеры размонтированы (т.е. при повторном монтировании нужно будет ввести пароль), то эта уязвимость актуальна? Или она актуальна только в момент когда контейнеры смонтированы?
caballero
06.10.2015 13:14+1Я лично использую сабж в офисе для того чтобы любопытные сотрудники когда меня нет не влезли куда не просят — например в почтовый ящик. Думаю большинство использует примерно также. Это к тому что критичное с технической точки зрения проблема не является критичной де факто для большинства случаев. Кто хранит реально важные конфиденциальные данные хранит их там где TrueCrypt уже без надобности.
gotch
Хорошо, если.
Вместе с Heartbleed это дает пищу для размышлений и на такую тему. Кто вносит изменения в открытые продукты? Все ли они добросовестны?
lopatoid
Ну с Heartbleed никаких секретов нет: вот есть конкретный коммит ( https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=4817504d069b4c5082161b02a22116ad75f822b1 ), который привнёс баг, а у коммита есть автор. Про автора ошибки даже статья на хабре была в связи с Heartbleed.
sysmetic
Кстати, на тему внесения злоумышленниками изменений в открытый продукт TrueCrypt с последующей маскировкой под оригинал уже была статья "ESET: боевой вирус маскируется под программу для шифрования данных"