09.03.2017 18:52
alizar 64 29700 Источник


Apple, Google, Microsoft, Samsung и другие компании быстро отреагировали на утечку документов ЦРУ с подробным описанием хакерских инструментов и десятков 0day-уязвимостей в популярных программах и устройствах.

Одними из первых вчера вечером отчитались разработчики текстового редактора Notepad++, который ЦРУ эксплуатировало через подмену DLL. Этот редактор поддерживает подсветку синтаксиса для разных языков программирования, так что им пользуются даже некоторые разработчики.

В документах Vault 7 оказалось упоминание подмены DLL в Notepad++. Точнее, один из разработчиков или тестировщиков эксплойта жалуется на небольшую проблему с работой готового эксплойта. Как упоминается в этой заметке, Notepad++ загружает Scintilla — «компонент редактирования кода» (отдельный проект) из динамической библиотеки SciLexer.dll, примыкающей к исполняемому файлу. Из этой библиотеки экспортируется только одна функция под названием Scintilla_DirectFunction.

Специалист цитирует открытый исходный код Notepad++ для определения прототипа экспортируемой функции:

sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)

Программист или тестировщик признаётся, что ему никак не удаётся обратиться к этой функции, хотя он даже установил дополнительные плагины, которые должны напрямую контактировать с Scintilla. В то же время он даёт понять, что нынешний прототип [с подменой библиотеки SciLexer.dll] работает нормально — и выражает надежду, что коллеги решат эту проблему тоже.

Разработчики Notepad++ буквально на следующий день после утечки документов выпустили новую версию Notepad++ 7.3.3, где решили проблему с подменой оригинальной DLL на библиотеку SciLexer.dll от ЦРУ, которая выполняет сбор данных в фоновом режиме.

Проблему решили кардинально. Теперь с версии 7.3.3 редактор будет проверять сертификат у библиотеки SciLexer.dll перед её загрузкой. Если сертификат отсутствует или недействительный, то библиотека не будет загружаться — и сам редактор Notepad++ работать не будет.

Проверка сертификата не является абсолютной защитой. Разработчики программы верно замечают, что если злоумышленник получил доступ к компьютеру, то формально может сделать на нём что угодно с системными компонентами. Данная защита просто не даёт текстовому редактору загружать вредоносную библиотеку. Но никто не мешает ЦРУ заменить, например, не библиотеку, а сразу весь исполняемый файл notepad++.exe, если уж ЦРУ контролирует компьютер.

Разработчики сравнивают эту защитную меру с установкой замка на входные двери. Понятно, что замок на двери не защитит от людей, которым действительно нужно проникнуть внутрь, но всё-таки принято запирать дверь каждый раз, когда вы выходите из дому.

Другие популярные программы


Хак для Notepad++ был частью операции Fine Dining, в рамках которой ЦРУ выпускало эксплойты для различных популярных программ. Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.

  • VLC Player Portable
  • Irfan View
  • Chrome Portable
  • Opera Portable
  • Firefox Portable
  • ClamWin Portable
  • Kaspersky TDSS Killer Portable
  • McAfee Stinger Portable
  • Sophos Virus Removal
  • Thunderbird Portable
  • Opera Mail
  • Foxit Reader
  • Libre Office Portable
  • Prezi
  • Babel Pad
  • Notepad++
  • Skype
  • Iperius Backup
  • Sandisk Secure Access
  • U3 Software
  • 2048
  • LBreakout2
  • 7-Zip Portable
  • Portable Linux CMD Prompt

Конечно, у ЦРУ есть гораздо более продвинутые эксплойты. Например, с внедрением руткита в ядро операционной системы, инфицированием BIOS и т.д. Но этот пример показывает, что разведчики не отказывались от более простых и менее технологичных способов, таких как подмена DLL. Возможно, эти простенькие эксплойты разрабатывали начинающие стажёры или сторонние подрядчики.

Понятно, что полностью защититься от слежки со стороны правительства невозможно — у них слишком большие ресурсы. Но если в наших силах закрыть какую-то уязвимость — нужно это делать, несмотря на общую бесполезность процесса.

Так или иначе, но другие производители ПО тоже отчитались о предпринимаемых мерах.

Apple заявила, что многие из уязвимости в её устройствах и программном обеспечении, которые упоминаются в документах, уже неактуальны, то есть отсутствуют в последней версии iOS. Очевидно, остальные «дыры» залатают в ближайших релизах.

Microsoft прокомментировала: «Мы в курсе документов и изучаем их».

Samsung, у которой ЦРУ взломало телевизоры серии F8000, заявила: «Мы осведомлены об отчёте и экстренно изучаем этот вопрос».

Директор по информационной безопасности и конфиденциальности Google выразила уверенность, что последние обновления безопасности Chrome и Android должны защитить пользователей от большинства упомянутых в документах уязвимостей: «Наш анализ продолжается и мы реализуем любые необходимые меры защиты».

UPD: Джулиан Ассанж сегодня сказал, что технологические компании получат эксклюзивный доступ к эксплойтам ЦРУ до их публикации в открытом доступе.
Поделиться с друзьями
-->

Комментарии (64)


  1. Z0K
    09.03.2017 22:08
    #9935332

    >>>Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.
    >>>2048
    Никому нельзя верить.


    1. A-Stahl
      09.03.2017 22:49
      #9935398

      >Никому нельзя верить.
      Мюллер: «Верить в наше время нельзя никому. Порой даже самому себе. Мне можно!»


  1. DarkTiger
    10.03.2017 00:27
    #9935580
    -2

    Обновления на Notepad++ сейчас имеются только 7.3.2, без упоминания о Vault7. «Дайте мухе шанс»?


    1. WerewolfPrankster
      10.03.2017 02:56
      #9935836
      +2

      https://notepad-plus-plus.org/news/notepad-7.3.3-fix-cia-hacking-issue.html На сайте. Отдадут автообновлению через пару дней, как только удостоверятся что багов никаких не привнесло.


  1. Jeditobe
    10.03.2017 01:18
    #9935688
    +22

    В начале марта 2017 самой безопасной ОС оказалась ReactOS. У ЦРУ не нашли ни одного эксплоита для нее.


    1. itvdonsk
      10.03.2017 01:49
      #9935744
      +4

      Отличный маркетинг


    1. ef_end_y
      10.03.2017 02:06
      #9935776
      +20

      Неуловимый Джо


      1. 3aicheg
        10.03.2017 03:32
        #9935864
        +16

        Как бы то ни было, эффект Неуловимого Джо действительно обеспечивает наивысшую защиту от эксплойтов.


        1. iNickname
          10.03.2017 09:02
          #9936088
          -2

          Что за эффект?


          1. hengenvaarallinen
            10.03.2017 09:37
            #9936152

            Неуловимый потому что никому не нужен


          1. Bunny_74
            10.03.2017 09:37
            #9936154
            +1

            Неуловимый Джо потому и неуловимый, что никому не нужен и никто не пытается его поймать


        1. Inorg
          10.03.2017 09:36
          #9936146
          +5

          А разве виндовые не будут работать из «коробки» на этой ос? Или они не настолько совместимы? Было бы интересно прочитать квалифицированный ответ.


          1. 3aicheg
            10.03.2017 10:19
            #9936236
            +1

            Так совместимость только по интерфесам, а эксплойты, надо думать, у них свои собственные.


      1. AllexIn
        10.03.2017 08:51
        #9936060

        Использование не сильно распространенных инструментов — это один из способов защиты. Потому что как правилоа массированные атаки заточены под массовое ПО. Так просто дешевле и эффективнее.
        ТАк что вполне себе защита


    1. bkotov
      10.03.2017 10:02
      #9936210
      +12

      Ни один виндовый эксплойт не заработал? Непорядок, надо улучшать совместимость


    1. Giriia
      10.03.2017 10:51
      #9936294

      Так она ж ещё не особо юзабельна. По сути отсутствие эксплоита это не признак безопасности, а лишь следствие малой популярности.

      зы. Нда. Надо обновлять комментарии перед отправкой…


    1. potan
      10.03.2017 12:51
      #9936686

      Я там и для Redox ни одного эксплойта не нашел!


    1. SLY_G
      10.03.2017 16:59
      #9937278

      Для MS-DOS, полагаю, там тоже ничего нет ;)


    1. ironwool
      10.03.2017 17:54
      #9937396

      безопасной

      Кхм, в первый раз прочитал как «бесполезной». Серьёзно, не шучу.


    1. prospero78su
      11.03.2017 14:25
      #9938400

      Секундочку!!! КолибриОС?!))


  1. RomanEg
    10.03.2017 01:37
    #9935722
    -2

    Ну отлично, значит бюджет в конгрессе на закладку новых дыр будет увеличен, профит.


  1. 3aicheg
    10.03.2017 05:05
    #9935908
    -7

    Поутру сижу я, сру —
    Сразу мысль: «А что там ЦРУ?!»


    1. adson
      10.03.2017 10:04
      #9936212

      почему бы НЛО вообще не стереть этот комментарий?


  1. iNickname
    10.03.2017 09:03
    #9936092
    -6

    Скажите мне, как пользователю Линукс, я такой же pwnd как и юзеры Виндовс?


    1. Tomok
      10.03.2017 09:37
      #9936148
      +3

      Если вас ищет ЦРУ, то вы в любом случае pwnd.


    1. ffs
      10.03.2017 13:07
      #9936728
      -2

      А вы сомневаетесь? Софт для всех операционок пишут живые люди, чем больше опенсурса тем больше багов.


      1. Feodot
        10.03.2017 19:09
        #9937510

        Тут не про баги разговор, чем больше людей в проектах, тем меньше шансов протащить подозрительный код


        1. ggrnd0
          11.03.2017 14:26
          #9938420

          Не чем больше людей, а чем больше времени и сил тратится на верификацию ПО.
          При константных затратах на проверку, качество обратно пропорционально количеству участников.
          А вообще всякое бывает: https://geektimes.ru/post/286376/


      1. Akon32
        10.03.2017 19:12
        #9937512
        +1

        чем больше опенсурса тем больше багов

        чем больше хлопьев, тем больше асбеста!


  1. tmin10
    10.03.2017 10:26
    #9936244

    В списке много portable программ, но разве они все существуют официально? Например хром, на сайте только один вариант установки, никаких portable нет, только неофициальные левые сборки.


    1. hunter64
      10.03.2017 10:57
      #9936310

      Вариант портативные — зачастую выпускают не авторы софта, а сторонние.
      Использую: Chrome, FireFox, Skype, и еще много софта.
      Источник: PortableApps.com


      1. tmin10
        10.03.2017 11:04
        #9936340
        +2

        Так в этих сборках вообще может быть что угодно, тут даже не указан сборщик этих portable сборок. А выглядит так, как будто взломали именно VLC, Opera, Chrome, Firefox и прочие.


  1. berezuev
    10.03.2017 11:08
    #9936358
    -11

    Ну серьезно, кругом взрослые люди, а все поголовно верят в то, что крупные компании так рьяно закрывают лазейки для спецслужб… Достала уже эта паранойя относительно слежки. Да, следят. Всегда следили, и всегда будут следить. И от того, что кто-то это доказал — ничего не изменится.

    А теперь давайте без истерик включим голову, и подумаем, сколько предотвращено преступлений и сколько спасено жизней благодаря такому контролю.


    1. argz
      10.03.2017 11:21
      #9936392
      +11

      И сколько?


      1. Shurr-pl
        11.03.2017 14:26
        #9938408
        +2

        А столько, сколько террористов и педофилов поймали согласно законам о защите от террористов и педофилов


    1. DjOnline
      10.03.2017 11:49
      #9936474
      +2

      В том то и дело что 0.


    1. Rohan66
      10.03.2017 11:58
      #9936498
      +8

      А почему бы тогда не запретить занавески на окнах и замки в дверях. Да и дома строить сразу с прозрачными стенами можно!


      1. maniacscientist
        10.03.2017 12:18
        #9936584
        -1

        Кое-где так и сделано. Не запретами, правда, а «так принято». В Финляндии, например. Занавесок нет, в лучшем случае жалюзи


        1. solariserj
          10.03.2017 14:22
          #9936944

          Жалюзи это как бы эстетические занавески(я к примеру ненавижу матерчатые занавески) т выполняют также защиту чтоб не лазили в твоем «грязном белье»


        1. daggert
          10.03.2017 14:31
          #9936976

          В Оулу, Посио и Йоэнсуу, почти везде на окнах в квартирах есть занавески. На фермах и пригороде не всегда, но там и расстояния между домов позволяют.


          С другой стороны там и культура несколько иная — ходить всей семьей или с коллегами в сауну голышем.


    1. aspid-d
      10.03.2017 12:02
      #9936524

      теперь, когда опубликована инфа, у компаний не остаётся выбора. Можно ещё подумать, сколько частных лиц и организаций выставили, благодаря заложенным дырам. Цифру я тоже называть не будут, но подумаем ;)


    1. AleXP3
      10.03.2017 13:16
      #9936758
      +3

      Залезать в чужой комп это и есть преступление. Так что на самом деле все ровно наоборот: страна-террорист постоянно совершает преступления, а не предотвращает их.


    1. fett273
      10.03.2017 13:42
      #9936816
      +3

      Это нелегальное использование со стороны государства, т.е. нарушение закона, если бы об этом уведомляли заранее даже общими формулировка или хотя бы оформили это законом, тогда другое дело и каждый сам бы решал. Кстати, большинство было бы все равно согласно с этим и продолжало бы использовать данное ПО. А так получается, у нас как бы "свобода", но ежели что последить мы не против.


    1. ZetaTetra
      10.03.2017 13:42
      #9936822

      Сколько предотвращено — неизвестно.
      А пострадавших от CIH, ConFlicker и пр. — миллионы.


    1. we1
      10.03.2017 18:33
      #9937460
      +2

      Вроде все взрослые люди, но вот есть некоторые, которые верят, что тотальная слежка работать будет на благо общества.


    1. lpwaterhouse
      12.03.2017 02:31
      #9938870

      а все поголовно верят в то, что крупные компании так рьяно закрывают лазейки для спецслужб

      Лазейки не для спецслужб, а для всех, кто их найдет. И если компании, возможно, еще готовы мириться с тем, что их недочеты используют спецслужбы (в чем я сомневаюсь), то при использовании этих же лазеек третьей стороной они понесут огромные репутационные потери. А учитывая, что все это утекло в сеть, им просто необходимо это делать.


  1. Veliant
    10.03.2017 12:14
    #9936562
    +2

    Проблема DLL Hijacking'а довольно серьезная и мало кто из вендоров обращает на нее внимание.
    Берем любой exe из антивирусного или другого защитного ПО, кладем рядом с ним свою DLL, и запускаем. (Кладем в любом другом каталоге отличном от установочного). После этого убить данный процесс можно будет только отключив самозащиту продукта.
    Плюс из нашей DLL можно подергать драйвер защитного ПО т.к. родительский ехе подписан и находится в доверенных.


    1. SamVimes
      10.03.2017 14:16
      #9936920

      кладем рядом с ним свою DLL

      Как справедливо заметили в статье, если вы можете положить свою DLL, то жертве уже ничего не поможет.


      1. wych-elm
        10.03.2017 20:49
        #9937642

        В Portable-версиях угоняемого ПО, именно что можно легко положить любой DLL в каталог с программой (то есть без каких-либо админ. прав).


        1. SamVimes
          10.03.2017 21:18
          #9937684

          Так а как это сделать? Нужно распространять, получается. А что в таком случае мешает коварный экзешник положить?)


          1. wych-elm
            11.03.2017 03:24
            #9938104

            Ничто не мешает, но экзешники все разные, а DLL используют одинаковый, какая-либо стандартная библиотека, например.
            А как сделать? Так же как и устанавливается любое портативное ПО — обычное копирование в общедоступный каталог.


  1. fett273
    10.03.2017 12:36
    #9936642

    сорри, не туда ответил :(


  1. Marsikus
    10.03.2017 13:09
    #9936734
    +2

    Интересно было бы услышать комментарий John T. Haller (автор проекта PortableApps) об этом всём.
    Также интересно, не портабельные версии ПО были взяты с официальных источников от авторов или легальных софт-каталогов как Softpedia, или с торрентов и файлопомоек?


    1. hurtavy
      10.03.2017 13:42
      #9936818

      Где написано, что это их сборки? Эти portable лепят все, кому не лень. Согласитесь, что глупо обвинять того же Касперского, если вы скачали «антивирус» не с официального сайта


    1. bukovki
      10.03.2017 13:53
      #9936856

      А ведь на сайте этого проекта есть портабельная версия keepass, со всеми вытекающими, если она тоже подвержена вмешательству.


      1. SpiritOfVox
        10.03.2017 14:39
        #9937002

        Вы странно смотрите на portable версии программ. В случае keepass на оф. сайте есть архив с программой которая прекрасно работает без установки. Для этого не нужны никакие дополнительные сайты.


        1. bukovki
          10.03.2017 16:15
          #9937210

          Я то в курсе. Но есть же люди, которые скачали keepass именно с проекта PortableApps.


  1. bydunai
    10.03.2017 15:35
    #9937108
    +1

    Mikrotik тоже залатали.


  1. gxcreator
    10.03.2017 20:22
    #9937610

    Странная уязвимость. Разве ЦРУ не может так же и Notepadpp.exe подменить, если есть доступ к ПК?


    1. Feodot
      10.03.2017 20:50
      #9937646

      Антивирусы или сама система будет ругаться на такое + слишком очевидный способ, куча вирусов используют такой способ, соответственно он мало еффективен


  1. wOvAN
    10.03.2017 20:48
    #9937640
    +5

    Google выразила уверенность, что последние обновления безопасности Android должны защитить пользователей от большинства упомянутых в документах уязвимостей


    даже засмеялся на этом месте, какой процент устройств на андройд получат обновления? (


    1. Bbl1
      10.03.2017 22:54
      #9937830
      +4

      А нечего сидеть на старых, прошломесячных устройствах. Деньги в зубы и бегом в магазин!


  1. arthi7471
    10.03.2017 22:30
    #9937806

    Поцчему постоянно речь идет только про программные закладки? Про хардварные почему-то все молчат а с ними бороться вообще не возможно. Какие-то жалкие потуги есть но в «российских» процессорах полный адъ и израиль. Камни перекупленные у амд производящиеся в китае чет как-то не вызывают доверия.

    Второй вопрос про ш2з. Кому надо тот зашифруется по самое не балуйся. Сейчас это может сделать любой школьник. Сильно сомнительно что можно расшифровать 256+1024+1024+256 бит имея даже колоссальные вычислительные ресурсы. И это ж не единственная даркнетовская сеть.


    1. worldmind
      10.03.2017 23:47
      #9937912

      да и не нужно ничего расшифровывать, достаточно перехватить данные до шифровки используя всякие уязвимости в ОС и софте