{Бинарный} Форпост | Блог Артёма Синицына

“Навстречу северной Авроры, звездою севера явись!”

А.С.Пушкин

Если среднестатистического гражданина нашей необъятной страны спросить про Аврору, у большинства из них возникнет ассоциация с военно-историческим памятником и достопримечательностью города на Неве. У других в сознании всплывут советские кинотеатры. Возможно, кто-то вспомнит про древнеримскую богиню (хотя вряд ли). Но если сегодня спросить об этом ИТ-специалиста, он наверняка что-то скажет о ряде широкомасштабных атак, совершённых во второй половине декабря прошлого года на целый ряд крупных американских компаний включая Google, Adobe, Yahoo, Symantec, Juniper Networks и McAffee. Массированные атаки, целями которых явились более 30 компаний силиконовой долины, продолжались в течении трех недель с середины декабря 2009 до 4 января 2010 года. Большинство атак использовало целый коктейль из 0day-уязвимостей, разбавленный  технологиями социальной инженерии, десятком вредоносных программ и backdoor-модулем, подключающемуся к командному центру по маскировочному SSL-соединению.

Данное событие получило название “Операция Аврора” (Aurora) по названию каталога в системе злоумышленников, в котором был скомпилирован вредоносный код. Одной из уязвимостей используемых в рамках данных атак была ранее неизвестная уязвимость в браузере Microsoft Internet Explorer. Критической уязвимости оказались подвержены версии Internet Explorer 5.01, 6 SP1, 7, 8 под управлением Windows 2000, XP, Windows Server 2003, Vista, Windows Server 2008, 7 и Windows Server 2008 R2. НО! Здесь есть крайне важное “но”. Успешная экспуатация уязвимости была зафиксирована только на системах с Internet Explorer 6. “Как же так?”, – воскликнете Вы – “Ведь уязвимость найдена во всех версиях браузера”. Давайте остановимся на этом моменте более подробно…

Дело в том, что несмотря на нахождение уязвимостей в коде более современных версий браузера Internet Explorer 7 и 8, они (в отличие от предшественников) снабжены дополнительными механизмами защиты от атак. Одним из примеров такой технологии защиты является Internet Explorer Protected Mode, включенный по умолчанию в Windows Vista и Windows 7.

Internet Explorer Protected Mode позволяет ограничить выполнения активного содержимого веб-ресурсов рамками виртуальной “песочницы”, блокируя доступ к системным файлам ОС. При этом любая попытка выполнения операции конфигурирования сопровождается штатным запросом повышения уровня привилегий User Account Control.

Помимо этого, начиная с Windows XP SP3 в данном семействе ОС появился механизм Data Execution Prevention, который предотвращает запуск кода из области памяти, помеченной DPE как страницы “только для хранения данных”.

Именно дополнительные уровни системной защиты Data Execution Prevention, Address Space Layout Randomization и Internet Explorer Protected Mode позволили системам Windows XP SP3, Vista и Windows 7 заблокировать выполнение нашумевшего трояна. Для полноты картины предлагаю ознакомиться со сводной таблицей, демонстрирующей уровень риска в зависимости от используемой платформы и версии браузера.

Сами уязвимости и подверженные им системы подробно описаны в этом документе – Бюллетень по безопасности (Майкрософт) MS10-002 (критический).

Компанией Microsoft было выпущено внеочередное обновление безопасности, полностью закрывающее обнаруженную уязвимость во всех версиях Internet Explorer.

Отдельно отмечу, что на данный момент не было зафиксировано ни одного случая успешной работы вредоносного кода волны Aurora на компьютерах с браузерами Internet Explorer 8.

Для того, чтобы защитить Вашу систему необходимо сделать следующее:

1. Загрузить и установить обновление безопасности.
2. Обновить браузер до версии Internet Explorer 8 для обеспечения более высокого уровня безопасности.
3. Обновить операционную систему до уровня Windows XP SP3, Vista или Windows 7 для получения современных механизмов защиты от информационных угроз.
4. Установить режим автоматического обновления системы для своевременного получения всех исправлений безопасности.

Что-то вроде заключения

Напомню также, что по результатам независимого исследования, проведённого в конце 2009 года компанией Cenzic, в 2009 году браузер Internet Explorer 8 показал всего 15% уязвимостей и обошёл по параметрам безопасности своих конкурентов Firefox и Safari, в которых было обнаружено 44% и 35% уязвимостей соответственно. И это исследование далеко не единственное:

• Web Browser Security

• Web Application Security Trends Report

• Firefox назвали самым «дырявым» браузером

Предвосхищая восторженные вопли злопыхателей о том, “какое же решето этот ослик ИЕ”, отмечу, что неуязвимого ПО нет и не будет пока процесс разработки будет выполняться человеком. Самый серьезный фактор в любой сфере безопасности – человеческий! И популярное ПО, в том числе браузеры, всегда будет целью гораздо большего количества исследований на нахождение уязвимостей и их эксплуатации, чем программы, занимающие несколько процентов рынка данного сектора.

Просто невыгодно подделывать десятирублевые купюры :)

Это была реклама браузера Lynx и книги Н.Куна “Легенды и мифы Древней Греции”

Related Posts

1. Найдена уязвимость в Microsoft ISA Server и Forefront TMG