Спецпроекты

ПО Безопасность Бизнес Маркет

Дыра в рекламной функции Windows позволяет красть конфиденциальные данные. Видео

Эксперт по безопасности опубликовала информацию об уязвимости, не уведомив Microsoft. При этом она выпустила к ней эксплойт, работоспособность которого уже подтвердили сторонние специалисты.

Копируйте все и везде

Исследовательница вопросов кибербезопасности, известная под никнеймом SandboxEscaper, опубликовала информацию уже о третьей за четыре последних месяца уязвимости нулевого дня в Microsoft Windows, и эксплойт к ней. Уязвимость позволяет читать содержимое любого файла с системными привилегиями. Теперь исследовательнице грозят неприятности с ФБР.

Уязвимость сама по себе содержится в функции MsiAdvertiseProduct. Согласно ее описанию, эта функция «генерирует рекламный скрипт или рекламирует продукт конкретному компьютеру; позволяет установщику вписывать в скрипт информацию для системного реестра и ярлыка, используемого для обозначения или публикации продукта».

Как пояснила исследовательница, вызов этой функции приводит к копированию произвольного файла службой установки, а саму эту службу может контролировать злоумышленник. Средства проверки можно обойти из-за ошибки типа «время проверки — время использования» (TOCTOU).

В результате любой файл с системными привилегиями (SYSTEM) можно скопировать в общедоступную область.

Использование обнаруженного бага

«Самый простой способ проверить наличие бага — это создать два локальных аккаунта и прочитать содержимое desktop.ini одного из них из-под другого», — написала исследовательница.

Исполнительный директор компании Acros Security и основатель платформы oPatch, распространяющей временные микропатчи для новых уязвимостей, Митя Кольшек (Mitja Kolsek) подтвердил работоспособность эксплойта и пообещал разработать временный патч еще до рождественских выходных.

«Это довольно опасная ошибка, которая может быть использована для кражи конфиденциальных данных, — полагает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — К сожалению, исследовательница предпочитает не следовать общепринятой процедуре раскрытия подобных уязвимостей, и не уведомлять разработчика до публикации эксплойта. В этом плане она действовала не в интересах простых пользователей.

Третий рецидив

SandboxEscaper уже в третий раз публикует информацию об уязвимости нулевого дня в Windows и эксплойт к ней, не предупреждая об этом Microsoft.

После публикации в августе 2018 г. информации о баге в планировщике заданий Windows исследовательница лишилась доступа к своему аккаунту в GitHub и прямо обвинила в этом разработчика операционной системы.

Теперь же ее, похоже, ждут неприятности с ФБР: она опубликовала сообщение, в котором ее информируют о запросе, поступившем в Google от имени Федерального бюро расследований в связи с неким возбужденным делом.

Что это за дело, неизвестно, но это может быть никак не связано с публикацией эксплойтов: некоторое время назад SandboxExplorer опубликовала твит с угрозами президенту США Дональду Трампу (Donald Trump). Твит был вскоре удален, но он вполне мог попасть в поле зрения ревнивых сторонников Трампа и правоохранительных органов.

Собственный аккаунт SandboxEscaper сейчас заморожен.

Короткая ссылка