Технологии безопасности

Сайт посвященный вопросам безопасности

Производители ПО массово закрывают уязвимости, которыми пользовалось ЦРУ

Apple, Google, Microsoft, Samsung и другие компании быстро отреагировали на утечку документов ЦРУ с подробным описанием хакерских инструментов и десятков 0day-уязвимостей в популярных программах и устройствах.

Одними из первых вчера вечером отчитались разработчики текстового редактора Notepad++, который ЦРУ эксплуатировало через подмену DLL. Этот редактор поддерживает подсветку синтаксиса для разных языков программирования, так что им пользуются даже некоторые разработчики.

В документах Vault 7 оказалось упоминание подмены DLL в Notepad++. Точнее, один из разработчиков или тестировщиков эксплойта жалуется на небольшую проблему с работой готового эксплойта. Как упоминается в этой заметке, Notepad++ загружает Scintilla — «компонент редактирования кода» (отдельный проект) из динамической библиотеки SciLexer.dll, примыкающей к исполняемому файлу. Из этой библиотеки экспортируется только одна функция под названием Scintilla_DirectFunction.

Специалист цитирует открытый исходный код Notepad++ для определения прототипа экспортируемой функции:

sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)

Программист или тестировщик признаётся, что ему никак не удаётся обратиться к этой функции, хотя он даже установил дополнительные плагины, которые должны напрямую контактировать с Scintilla. В то же время он даёт понять, что нынешний прототип [с подменой библиотеки SciLexer.dll] работает нормально — и выражает надежду, что коллеги решат эту проблему тоже.

Разработчики Notepad++ буквально на следующий день после утечки документов выпустили новую версию Notepad++ 7.3.3, где решили проблему с подменой оригинальной DLL на библиотеку SciLexer.dll от ЦРУ, которая выполняет сбор данных в фоновом режиме.

Проблему решили кардинально. Теперь с версии 7.3.3 редактор будет проверять сертификат у библиотеки SciLexer.dll перед её загрузкой. Если сертификат отсутствует или недействительный, то библиотека не будет загружаться — и сам редактор Notepad++ работать не будет.

Проверка сертификата не является абсолютной защитой. Разработчики программы верно замечают, что если злоумышленник получил доступ к компьютеру, то формально может сделать на нём что угодно с системными компонентами. Данная защита просто не даёт текстовому редактору загружать вредоносную библиотеку. Но никто не мешает ЦРУ заменить, например, не библиотеку, а сразу весь исполняемый файл notepad++.exe, если уж ЦРУ контролирует компьютер.

Разработчики сравнивают эту защитную меру с установкой замка на входные двери. Понятно, что замок на двери не защитит от людей, которым действительно нужно проникнуть внутрь, но всё-таки принято запирать дверь каждый раз, когда вы выходите из дому.

Другие популярные программы

Хак для Notepad++ был частью операции Fine Dining, в рамках которой ЦРУ выпускало эксплойты для различных популярных программ. Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.

VLC Player Portable
Irfan View
Chrome Portable
Opera Portable
Firefox Portable
ClamWin Portable
Kaspersky TDSS Killer Portable
McAfee Stinger Portable
Sophos Virus Removal
Thunderbird Portable
Opera Mail
Foxit Reader
Libre Office Portable
Prezi
Babel Pad
Notepad++
Skype
Iperius Backup
Sandisk Secure Access
U3 Software
2048
LBreakout2
7-Zip Portable
Portable Linux CMD Prompt

Конечно, у ЦРУ есть гораздо более продвинутые эксплойты. Например, с внедрением руткита в ядро операционной системы, инфицированием BIOS и т.д. Но этот пример показывает, что разведчики не отказывались от более простых и менее технологичных способов, таких как подмена DLL. Возможно, эти простенькие эксплойты разрабатывали начинающие стажёры или сторонние подрядчики.

Понятно, что полностью защититься от слежки со стороны правительства невозможно — у них слишком большие ресурсы. Но если в наших силах закрыть какую-то уязвимость — нужно это делать, несмотря на общую бесполезность процесса.

Так или иначе, но другие производители ПО тоже отчитались о предпринимаемых мерах.

Apple заявила, что многие из уязвимости в её устройствах и программном обеспечении, которые упоминаются в документах, уже неактуальны, то есть отсутствуют в последней версии iOS. Очевидно, остальные «дыры» залатают в ближайших релизах.

Microsoft прокомментировала: «Мы в курсе документов и изучаем их».

Samsung, у которой ЦРУ взломало телевизоры серии F8000, заявила: «Мы осведомлены об отчёте и экстренно изучаем этот вопрос».

Директор по информационной безопасности и конфиденциальности Google выразила уверенность, что последние обгновления безопасности Chrome и Android должны защитить пользователей от большинства упомянутых в документах уязвимостей: «Наш анализ продолжается и мы реализуем любые необходимые меры защиты».

UPD: Джулиан Ассанж сегодня сказал, что технологические компании получат эксклюзивный доступ к эксплойтам ЦРУ до их публикации в открытом доступе.