Microsoft за три месяца не закрыла дыру, позволяющую легко сломать множество ПК и серверов под Windows 10
Microsoft не хватило трех месяцев, чтобы закрыть уязвимость в криптографической библиотеке SymCrypt. Уязвимость была найдена сотрудником Google. Она позволяет вывести из строя целый парк устройств под управлением Windows.
Незакрытая «дыра»
Microsoft не смогла закрыть уязвимость в криптографической библиотеке Windows, о которой компании сообщили еще в марте. В патчах, выпущенных в июне, проблема не была решена. В связи с этим исследователь безопасности Тэвис Орманди (Tavis Ormandy), который обнаружил уязвимость, обнародовал ее описание.
Орманди является участником проекта Google Project Zero, а Google дает разработчикам на исправление найденных ею уязвимостей 90 дней, прежде чем опубликовать технические детали. По словам Тима Уиллиса (Tim Willis), старшего менеджера по безопасности в Google, Microsoft Security Response Center (MSRC) сообщил Google, что уязвимость не будет закрыта до «патчевого вторника» в июле в связи с проблемами, выявленными при тестировании.
Суть проблемы
Уязвимость была найдена в высокоточных арифметических алгоритмах криптографической библиотеки SymCrypt. Это открытая библиотека, которая является главной библиотекой для симметричных алгоритмов в Windows 8 и Windows 10 1730. Уязвимость запускает бесконечную петлю в ходе вычисления модульной инверсии на определенных битовых комбинациях с bcryptprimitives!SymCryptFdefModInvGeneric. Это вводит любой Windows-сервер в состояние отказа в обслуживании, и его приходится перезагружать.
Орманди создал сертификат X.509, который запускает уязвимость. Отказ в обслуживании сервера вызывается путем внедрения сертификата в сообщение S/MIME, технологию подписи кода Authenticode, канал связи и т. д. По мысли исследователя, антивирусы и другие программы, работающие с недоверенным контентом, вызывают для этого контента процессы, приводящие к блокировке. То есть, корень проблемы кроется в том, что Windows некорректно взаимодействует с защитными решениями.
Орманди отмечает, что сама по себе уязвимость является угрозой невысокого уровня, но администраторам следует знать об ее существовании, поскольку она дает возможность хакеру вывести из строя целый парк устройств под управлением Windows без особенных затруднений.
Microsoft и исследователи безопасности
В конце декабря 2018 г. в Windows 10 был обнаружен баг, получивший название Angrypolarbear или Angrypolarbearbug («Разъяренный полярный медведь»). Его нашла скандально известная исследовательница кибербезопасности SandboxEscaper. Уязвимость позволяет перезаписывать любой файл в системе произвольными данными. При этом пользователю достаточно иметь самые базовые привилегии. В январе 2019 г. компания Acros Security выпустила промежуточный микропатч для этой проблемы.
Ранее эта же исследовательница обнаружила брешь в рекламном модуле Windows, позволявшую красть данные из системы, и опубликовала эксплойт к ней, не поставив в известность Microsoft. Однако в случае с «Полярным медведем» SandboxEscaper, по собственному утверждению, проинформировала разработчиков Windows через Microsoft Security Response Center до того, как опубликовала экспериментальный эксплойт.
Ее эксплойт позволяет перезаписать системный компонент pci.sys, необходимый для корректной загрузки Windows, содержимым лог-файла службы регистрации ошибок Windows.