Второй раз за три месяца разработчики из компании Google раскрыли баг в операционной системе Windows до того, как Microsoft выпустила патч. Теоретически, теперь несколько недель кто угодно может эксплуатировать критическую уязвимость, доступную на всех компьютерах под Windows.
Считается, что публичное разглашение информации — самый эффективный способ поторопить вендора с выпуском патча. Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
В данном случае уязвимость обнаружена в подсистеме Windows GDI (Graphics Device Interface), то есть в библиотеке gdi32.dll.
GDI — одна из трёх основных подсистем Windows, вместе с ядром операционной системы и Windows API. Библиотека gdi32.dll отвечает за отрисовку линий и кривых, отображение шрифтов и обработку палитры. Это интерфейс Windows для представления графических объектов и передачи их на устройства отображения. Раскрытие критической уязвимости GDI аналогично раскрытию уязвимости прямо в ядре операционной системы.
Последнее сообщение о баге было опубликовано 16 ноября 2016 года сотрудниками подразделения Project Zero. Впервые о нём упоминалось ещё раньше — в марте 2016 года, вместе с большим набором других уязвимостей в Windows. Компания Microsoft формально исправила эту уязвимость в июне 2016 года и опубликовала бюллетень безопасности MS16-074. Но на самом деле выпущенный патч оказался неполным.
Как написал специалист по безопасности из Google Матеуш Юрчик (Mateusz Jurczyk), патч MS16-074 не полностью устраняет уязвимость и оставляет пространство для эксплуатации бага. Некоторые из векторов атаки, о которых сообщалось в марте, по-прежнему остались доступны после установки патча. Подробности описаны в ноябрьском баг-репорте.
Баг CVE-2017-0038 позволяет вредоносной программе считать содержимое памяти, используя специальным образом сконструированный файл EMF. Файлы такого формата можно встраивать в различные документы — они автоматически запускаются на исполнение в Internet Explorer, в Office Online или в документе .docx.
В ноябре Матеуш Юрчик провёл ряд тестов — убедился, что уязвимость по-прежнему можно эксплуатировать, а после этого отправил отчёт в компанию Microsoft. В соответствии с принятыми в сообществе информационной безопасности правилами, спустя 90 дней он опубликовал информацию в открытом доступе, хотя новый патч к этому моменту так и не вышел.
За последнее время это не первый случай, когда Google публикует информацию о незакрытой уязвимости в Windows. Напомним, что в ноябре 2016 года специалисты Google Threat Analysis Group разгласили опасную уязвимости в Windows всего через 10 дней после того, как сообщили о ней в Microsoft. Столько короткий интервал тогда объяснялся тем, что обнаруженная уязвимость уже активно эксплуатировалась хакерами. Так что действия Google были вполне уместными, учитывая высокую опасность найденного бага. Тогда 0day-уязвимость в Windows уже использовалась хакерами из группы APT28 (Fancy Bear). По регламенту Google Threat Analysis Group, срок публикации информации об активно эксплуатируемых уязвимостях составляет 7 дней.
Русскоязычная хакерская группа APT28 хорошо известна кибератаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов. По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России атакам подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Парнас» и другие оппозиционеры, а также иностранные учёные, посещавшие российские вузы.
Летом 2016 года была взломана внутренняя сеть Демократической партии США. Специалисты из компании CrowdStrike, устранявшей последствия взлома, заявили, что он был организован группами Fancy Bear и Cozy Bear.
Как и сейчас, точно так же компания Google преждевременно раскрыла информацию об уязвимости в Windows в 2015 году, за что её подвергли критике коллеги из Microsoft. В тот раз ситуация была даже интереснее, потому что Microsoft специально просила Google подождать ещё несколько дней с разглашением — дать им время выпустить патч для Windows 8.1. Но Google не отступилась от принципов.
Судя по всему, у Google и Microsoft просто разные взгляды на проблему. Google считает, что информирование пользователей об опасности только повышает общую безопасность и заставит раньше выпустить патч. Microsoft считает, что незачем выносить грязное бельё на публику.
В ноябре прошлого года исполнительный вице-президент Microsoft, руководитель подразделения Windows and Devices Group Терри Майерсон (Terry Myerson) назвал поступок Google «разочаровывающим», потому что он подвергает риску миллионы пользователей Windows.
В этот раз Microsoft должна винить сама себя, ведь Google дождалась 14 февраля — того дня, когда Microsoft выпускает ежемесячный пакет обновлений. Патча для данной уязвимости так и не вышло.
Скорее всего, пользователи Windows останутся беззащитны перед уязвимостью CVE-2017-0038 как минимум до 15 марта 2017 года, когда Microsoft планирует выпустить следующий кумулятивный пакет безопасности.
Комментарии (29)
siberianMan
20.02.2017 17:56-2Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
Серьёзно? А помоему писателям вредоносного ПО они услугу оказывают попутно макая в грязь конкурентаKivApple
20.02.2017 18:44+2Google далеко не единственный, кто ищет уязвимости. И скорее всего большинство уязвимостей они находят не первые, ибо есть организации и отдельные личности для которых это основной профиль работы.
saboteur_kiev
20.02.2017 20:22+8Самые опасные писатели вредоносного ПО подобные уязвимости скорее всего уже знают/скупают на черных рынках и давным давно используют.
Школоло даже после опубликования врядли сможет подобным воспользоваться.
А вот не закрыть уязвимость за 90 дней уже после того, как про нее сообщили и описали — для гиганта вроде Microsoft — это неуважение к своим пользователям.
Предложите ваш вариант, как правильно пнуть компанию, чтобы она фиксила даже не баг а уязвимость побыстрее?
Kalter
20.02.2017 18:17+1>Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
Какое предвзятое отношение к Google. А услуга, получается, медвежья.iChaos
21.02.2017 01:43-3Услуга, для пользователей, как раз таки, не «медвежья», а вполне реальная: пользователи, зная про не закрытую уязвимость, будут действовать осторожнее, в тех ситуациях, когда могут с этой уязвимость столкнуться. И, вполне возможно, это действительно поторопит вендора с патчем, в настоящем, и мотивирует серьезнее относится к качеству выпускаемых продуктов, в будущем…
Kalter
21.02.2017 01:53+1Сами-то верите в то, что написали? Как думаете, сколько процентов пользователей Windows узнают об этой уязвимости? А злоумышленники как раз следят за подобными новостями.
Welran
21.02.2017 04:53Интересно, а если даже узнают что делать? Выключить компьютер и ждать апдейта?
terra-slav
22.02.2017 09:02Использовать СПО.
d-stream
23.02.2017 12:00Заодно научить каждую домохозяйку как выяснить какие именно модули используются в ее СПО и показать как искать основные дайджесты обновлений. Потом для нее уже совсем не будет представлять сложности пересобрать пропатченное ядро -))
iChaos
21.02.2017 12:16+2Злоумышленники, те кто занят разработкой эксплойтов, а не школота, вероятнее всего знали об этой уязвимости раньше, возможно, даже до того, как о ней узнал Google. В конце концов — это их бизнес, узнавать и использовать информацию об уязвимостях в ПО, раньше всех остальных. Школота же, больше чем на мелкое хулиганство не способна, и вряд ли будет заморачиваться разработкой эксплойтов по опубликованной информации.
Тем пользователям Windows кто не следит за новостями в области ИБ, по большому счёту, наплевать на ИБ. Такие, как правило, с удовольствием запускают зловредов, на своем ПК, если их просто вежливо попросить об этом…
Тем же пользователям, кому ИБ не «до лампочки», обнародование информации об уязвимости действительно полезно, поскольку позволяет использовать обходные пути, для защиты, до выпуска патча вендором.
Замалчивание информации, об уязвимости, вредит всем: разработчики эксплойтов спокойно используют эту уязвимость при оказании своих услуг всем желающим, в том числе и школоте, вендор не слишком торопится с патчем, а пользователи, даже те, кому это важно, не могут защититься, в силу своего незнания.
Фундаментальный принцип ИБ: необходимо предполагать, что злоумышленник владеет полной информацией обо всех слабостях Вашей системы безопасности, даже о тех что Вам неизвестны. И незнание о какой-либо уязвимости ставит Вас в гораздо менее выгодное положение, чем злоумышленника, который об этой уязвимости знает.
Этот принцип не «высосан из пальца», и отражает реальную ситуацию: как только кому-либо становится известно о очередной уязвимости, эта информация очень быстро распространяется среди злоумышленников. Если человек, нашедший уязвимость, не слишком добропорядочный, и продает информацию об этой уязвимости разработчику эксплойтов, то конкуренты этого разработчика, пытаются всеми силами, также заполучить информацию о найденной уязвимости (как правило, просто покупают её у конкурента, или изначального источника, но также может использоваться шпионаж, обратная разработка эксплойт-пака и т.д.). Даже если человек, нашедший уязвимость, передает информация о ней, только вендору, и больше никому, то эта информация также достаточно быстро попадает в руки злоумышленников, так как векторов её утечки, становится достаточно много: её можно просто украсть, у вендора или изначального источника, или перехватить в процессе передачи, кроме того, работники вендора не ангелы, а простые люди — среди них тоже может оказаться злоумышленник, их можно подкупить, запугать, завербовать другими способами, к вендору можно внедрить собственного человека для целей шпионажа, в конце-концов, работники вендора, могут банально «сболтнуть лишнего»…
msts2017
20.02.2017 19:52+4ахаха, инфоповод чтоб тиснуть про «русскоязычных хакеров», пропаганда на марше.
grokinn
20.02.2017 21:51Ну 14 февраля вообще никакие патчи не вышли, из-за проблемы обанаруженной в последний момент ежемесячное обновление отложили до марта.
AlexGluck
21.02.2017 00:02+3Моё мнение, что есть какой то срок договорённостей 7 или 90 дней, после которого если компания производитель не закрыла баг\уязвимость она подвергает опасности своих пользователей, а не гугл или другой публикатор информации. Тебе по тихому сказали где проблема? Ты болт забил? Ты и виноват.
Delics
21.02.2017 09:54+2Русскоязычная хакерская группа APT28
Статья написана ради этого вброса?
Группа так никогда не называлась, это вообще условное название из американского отчета. Что она «могла так называться». А кто это и что, и как в реальности называется, пока никто точно не сказал.
Судя по тому, что взламывали они через эксплоит в почте, который пользователю надо умудриться собственноручно запустить, это мог быть любой участник какого-нибудь «античата» или подобного форума.
tundrawolf_kiba
А что там слышно насчет секьюрити фиксов для всех андроидов, а не только для линейки Nexus/Pixel?
oleg0xff
Nekto_Habr
Не понял всю трагичность проблемы. Как же люди сегодня пользуются миллиардами смартфонов и планшетов?
oleg0xff
Nekto_Habr
Ну точно так же все пользователи компьютеров рискуют подвергнуться взлому. Взлому подвергаются даже самые защищенные системы. Это ведь не повод отказываться от использования техники?
oleg0xff
Ну на компьютерах ОС более менее обновляться, в отличии от телефонов. У меня уже несколько лет на телефон не приходило обновлений.
Nekto_Habr
Я о том, что с обновлениями или без — хакали всех всегда во все времена. Недавно были громкие новости о взломе российского банка (банков), даже карты перестали принимать в магазинах. Ну и что — помогли банкам обновления? Я не к тому, что обновления нафиг не нужны, а к тому, что они могут не помочь, это во-первых, во-вторых — это не повод радикально отказываться от чего-то, и в третьих: ваша безопасность — в ваших руках, т.к. зачастую факт взлома является следствием глупого или халатного поведения хакнутого человека.
urix
Если у вас iPhone достаточно современный, то на него по-прежнему приходят обновления.
Если у вас Google Nexus достаточно современный, то на него приходят обновления.
Если у вас что-то другое, то это повод
а) перейти на CyanogenMod
б) купить телефон с долговременной поддержкой от производителя
oleg0xff
да вроде я брал брэндовый(sumsung galaxy s3) и не старый он у меня — 12 го года. устройство на ios у меня тоже есть — ipad 2, но что то там тоже ситуация с обновлениями не супер.
Pakos
Реальность убила, поддержка стоит денег, но не приносит их.
mazahakajay
Как же вы банкоматами пользуетесь. И терминалами оплаты. И читалками
sleeply4cat
С нетерпением жду, когда гугл запретит использовать маркет и прочие сервисы на телефонах, которые не планируется поддерживать n лет. Не может же этот бред твориться бесконечно.
iChaos
На гугло-сервисах свет клином не сошелся. Я, к примеру, полностью от них избавился на собственном планшете, и устройствах домашних, перейдя на аналоги с открытым кодом… У этого есть свои преимущества — заметно увеличилась субъективное ощущение отзывчивости устройств, и среднее время работы (правда, по не слишком точным замерам) от одного заряда батареи…
К тому же, поскольку, не обновляющиеся «китайфоны» составляют довольно значительную долю, от общего числа Android-устройств, Google вряд ли пойдет на подобный шаг… Ведь Google делает деньги на своих сервисах, а такой жест, отсекающий часть клиентов, будет, фактически, означать, добровольную, сознательную передачу этих клиентов, в руки конкурентов, что не слишком разумно, для коммерческой структуры…
urix
Есть ли аналоги с открытым кодом для
1. Viber
2. VK
3. Shazam/Soundhound
4. SPB TV
И так далее…