Современные информационные угрозы, III квартал 2006

Дата: 30.11.2006
Источник: Лаборатория Касперского
Автор: Александр Гостев


Первое полугодие 2006 отличалось повышенной сложностью технологических проблем, которые приходилось решать антивирусным компаниям, большим количеством новинок вирусной мысли — «концептов», а также все возрастающим интересом хакеров к Microsoft Office. В целом все это выглядело как бурное противостояние идей, генерируемых обеими сторонами вирусной войны.

Проактивность, криптография, руткит-технологии, уязвимости были горячими темами в первом полугодии этого года. Но после всплеска активности неминуемо наступает время затишья, когда стороны пытаются сделать выводы и оценить степень правильности или провальности той или иной концепции. Третий квартал 2006 года и стал как раз таким временем, совпавшим с периодом общего стремления к отдыху — летними месяцами.

В третьем квартале не было ни одной значительной эпидемии, хотя август ожидали с некоторым волнением — но скорее из дани к традиции: в последние три года в августе всегда случались мощные вирусные эпидемии. Вспомним 2003 год, уязвимость MS03-026 и червь Lovesan. Август 2004 года принес нам червей Zafi и Bagle, а в 2005 червь Bozori (Zotob), использующий уязвимость MS05-039, поразил сети CNN, ABC, New York Times и еще множества других организаций в США.

В третьем квартале не было зафиксировано и новых концептуальных вирусов, и это тоже связано с тем, что вирусописателям требовалось время на осознание тех возможностей, которые ими в избытке были продемонстрированы новыми PoC-вирусами в первом полугодии. В общем и целом, все было тихо и спокойно — шла обычная рутинная позиционная война за Интернет.
Уязвимости

Кажется что слово «уязвимость» встречается в наших квартальных отчетах уже гораздо чаще чем «вирус». И это в полной мере отражает сложившуюся ситуацию в информационной безопасности. Давно уже ушли в прошлое времена, когда вирусы могли существовать и распространяться просто так, по воле их создателей и беспечных пользователей. Годы борьбы между вирусописателями с одной стороны и антивирусными компаниями и производителями программного обеспечения с другой, привели к тому, что в настоящее время практически все вредоносные программы, способные вызвать эпидемии, так или иначе используют различные бреши в программах.

Сетевые черви, получившие «право на жизнь» из-за уязвимостей в службах Windows — ярчайший пример того, как использование дыр в софте может привести к эпидемиями глобального масштаба. Уязвимости в браузере Internet Explorer стали питательной средой для распространения тысяч троянских программ. Все это заставляет нас как экспертов с тревогой ожидать информации о каждой новой найденной критической уязвимости, особенно если для нее еще нет соответствующего исправления от производителя.

Уязвимости в Microsoft Office

О проблеме уязвимости в Microsoft Office, очень быстро ставшей одной из ключевых в сфере информационной безопасности, мы уже писали в отчете за второй квартал 2006 года. Начиная с марта, мы едва успевали фиксировать появление то одной, то другой уязвимости в различных продуктах, входящих в состав пакета Microsoft Office. Под прицел «blackhat» попали и Word, и Excel, и Power Point. За три месяца число подобных «дыр» составило почти десяток, и все они становились известными еще до опубликования патча от Microsoft, закрывающего соответствующую «дыру».

Более того, вирусописатели приспособились к существующему у Microsoft графику выпуска обновлений (каждый второй вторник месяца) и стали выпускать в свет свои поделки спустя всего несколько дней (не более недели) после очередного «планового» патча. В результате практически целый месяц новая уязвимость могла быть использована хакерами, а пользователи все это время оставались без защиты, предоставленной компанией-производителем данного программного обеспечения.

Но и это было еще не самым печальным в этой истории. И мы, и другие антивирусные компании в процессе борьбы с вредоносными программами, использующими уязвимости в Office, проводили собственный анализ «дыр». Стало очевидно, что в их основе лежит по сути одна и та же проблема формата документов, использующих OLE-технологию (файлы, созданные при помощи MS Office). Проблема не решалась выпуском патчей для каждой найденной дыры — компании Microsoft необходимо было полностью пересмотреть технологию обработки структуры OLE-объектов. Выходящие раз в месяц патчи напоминали заплатки на рыбацкой сети — общее число мест в OLE-объектах, которые потенциально могут быть уязвимы, составляет более ста.

Доходило до смешного: мы, в «Лаборатории Касперского», даже заключали между собой пари «через сколько дней после выхода патча появится новая уязвимость в Office». Вопрос о том, появится ли она, даже не вставал. Речь действительно шла о днях.

В третьем квартале ничего не изменилось. Злоумышленники, среди которых выделялись своей активностью китайские хакеры, продолжали «удивлять» Microsoft все новыми и новыми троянскими программами, а Microsoft продолжала придерживаться традиционного графика выпуска обновлений.

Июль (3 уязвимости):

* Microsoft Security Bulletin MS06-037
* Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
* Microsoft Security Bulletin MS06-038
* Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)
* Microsoft Security Bulletin MS06-039
* Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

Август (2 уязвимости):

* Microsoft Security Bulletin MS06-047
* Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code
* Execution (921645)
* Microsoft Security Bulletin MS06-048
* Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)

Сентябрь (1 уязвимость):

* Microsoft Security Bulletin MS06-054
* Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)

Следует четко понимать, что почти за каждой из этих уязвимостей стоят иногда десятки троянских программ, которые были обнаружены либо в почтовом трафике, либо на компьютерах пользователей. Должен сказать самые теплые слова в адрес наших коллег из других антивирусных компаний, в первую очередь из Trend Micro, которые оказывались невольными открывателями этих уязвимостей и троянцев и уведомляли Microsoft об очередной проблеме. Как было сказано выше, особенно активно использовали эти уязвимости для распространения троянских программ китайские вирусописатели. Китайские бэкдоры Hupigon, PcClient, Hackarmy были нацелены на пользователей в Европе, Азии и США. Возможно, эта борьба антивирусных компаний против хакеров стала основной причиной массовых DDoS-атак, которым подвергались в эти месяцы сайты некоторых AV-вендоров именно со стороны зомби-сетей, созданных такими троянцами.

Случайность или спланированная атака?

Позволю себе высказать смелую мысль. Возможно, мы имеем дело не с обычным всплеском хакерского внимания к программному продукту. Возможно, это хорошо спланированная и тщательно осуществляемая атака на Microsoft. Кем и для чего?

За всеми атаками не просматривается одной и той же хакерской группы, так что трудно поверить в простое совпадение: на протяжении полугода(!) каждый месяц новые «дыры» обнаруживаются стараниями разных хакеров сразу же после исправления старых. Послушайте, так не бывает, чтобы разрозненные вирусописатели в разных странах мира все как один прониклись идеей «публикации» уязвимостей с оглядкой на график обновлений Microsoft. Если к ним в руки попадает новый эксплоит, никто из них не ждет несколько недель, чтобы его использовать. В мире киберпреступности действует тот же закон, что и в любом бизнесе — «Время — деньги». А цепочку «эксплоиты — время деньги» мы уже наблюдали в случае с уязвимостью в обработке WMF-файлов, когда эксплоит уязвимости продавался на некоторых хакерских форумах за $4000 (см. отчет за 4-й квартал 2005 года).

Как известно, MS Office является вторым основным продуктом Microsoft и приносит ей почти половину всей прибыли. Office фактически является стандартом для офисных приложений и практически не имеет конкурентов на рынке. Подобная ситуация не может устраивать другие компании, которые без особого успеха уже много лет пытаются сделать популярными собственные аналогичные продукты.

В большинстве стран не существует юридического запрета на поиск уязвимостей, поэтому поиск и публикация уязвимостей в продуктах конкурентов относится скорее к области этической, чем юридической. Тенденция обнаружения новых уязвимостей спустя считанные дни после предыдущего патча больше похожа на попытку дискредитации Microsoft в целом как компании-специалиста в области информационной безопасности и дискредитации ее системы планового выпуска обновлений в частности.

У Microsoft много врагов. Большое число уязвимостей и связанные с ними непрекращающиеся вирусные атаки действительно могут дискредитировать MS Office в глазах пользователей.

Ситуация продолжает оставаться крайне сложной. Хотя число найденных в MS Office уязвимостей (судя по количеству Microsoft Security Bulletin) пошло к концу квартала на убыль — это совсем не означает, что проблема решена. Напротив, нам следует ожидать еще более изощренных видов атак на Microsoft Office. Это связано с тем, что Microsoft уже сделала доступным для открытого бета-тестирования пакет Office 2007, а значит, у хакеров появляется еще один объект для исследования.

Этот отчет пишется в октябре, и у нас уже есть возможность узнать о том, сколько же уязвимостей в Office было...

Добавить комментарий

Всего 0 комментариев