На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-7-14 на главную / новости от 2003-7-14
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 14 июля 2003 г.

Эксперт: уязвимость Windows сохраняется

Целый класс атак, позволяющих злоумышленнику получить контроль над любым ПК или сервером, способен сделать беззащитными компьютерные системы в корпорациях и интернет-кафе.

В так называемых shatter-атаках хакеры используют систему сообщений Windows для передачи запросов на выполнение кода привилегированными, но незащищенными приложениями. Они основаны на системе сообщений Windows — среде, через которую приложения и операционная система общаются друг с другом.

Оливер Лейвери, независимый эксперт и автор работы, опубликованной в пятницу секьюрити-фирмой iDefense, утверждает, что, исправив обнаруженную в системе сообщений ошибку, Microsoft не изменила самой этой системы. Приложения, работающие с системными привилегиями, но не следующие правилам безопасности Microsoft, по-прежнему представляют опасность.

«По-моему, в прошлом многие упускали из виду тот факт, что это не отдельная атака, а целый класс атак, — пишет Лейвери в интервью по e-mail. — Каждый случай shatter-атаки — это проблема, но не смертельная. Однако от того, что данная уязвимость присутствует во многих приложениях, включая компоненты самой Windows, проблема становится гораздо серьезнее».

Для эксплуатации уязвимости требуется, чтобы пользователь системы выполнил код атакующего, поэтому многие не придали особого значения двум предостережениям, опубликованным в прошлом году. И неудивительно: подавляющее большинство домашних пользователей и так имеет полные права администратора на свои ПК. Однако многие корпорации создают для своих сотрудников учетные записи с ограниченными правами, а киоски, библиотеки и интернет-кафе обычно не позволяют пользователям модифицировать систему. В таких случаях атаки, нацеленные на повышение уровня привилегий, представляют особую опасность, утверждает Лейвери.

«В новых версиях Windows обычному пользователю не дозволено, например, форматировать диск — эта функция закреплена за администратором, — пишет он в e-mail. — Shatter-атака позволяет обойти это ограничение, так что программа, использующая данный тип уязвимости, может причинить ощутимый ущерб».

Впервые на возможность shatter-атак на повышение уровня привилегий указал прошлой осенью Крис Паджет — теперь старший консультант по безопасности Next-Generation Security Software: «Корень проблемы в том, что в пределах ПК любое приложение может отправить сообщение любому другому. Когда целевое приложение получает такое сообщение, оно не знает, отправлено ли оно системой или другим процессом».

Мрачность этих предостережений и тот факт, что в некоторых рассуждениях автора были обнаружены ошибки, привели к тому, что многие оспаривали важность данного исследования. Этому способствовало и первоначальное опровержение Microsoft. Софтверный гигант не придал угрозе значения на том основании, что для использования уязвимости у атакующего должен быть «неограниченный физический доступ к компьютеру», говорилось в заявлении компании, присланном в CNET News.com в прошлом году.

Но через несколько месяцев тон Microsoft изменился. В декабре компания выпустила патч, исправляющий одно из проявлений обнаруженной Паджетом проблемы. А в прошлую среду компания устранила другое проявление этой проблемы, залатав брешь в Utility Manager, который используется в Windows 2000 для управления опциями доступа к ПК.

Иэн Малхолланд, менеджер программы безопасности Microsoft Security Response Center, пояснил, что софтверному гиганту потребовалось время, чтобы исследовать проблему, прежде чем оценить опасность. По его словам, приложения от тех производителей, которые соблюдают рекомендации по безопасности Microsoft, не должны страдать этой уязвимостью. Компания издавна рекомендует не использовать систему сообщений в приложениях с высоким уровнем привилегий. Однако некоторые разработчики до сих пор не приняли к сведению этих мер предосторожности.

«Мы опубликовали статью об этом в Knowledge Base еще в 1994 году, — сказал он. — Мы можем только давать рекомендации, но, если люди предпочитают действовать наперекор им, с ними ничего не поделаешь».

Лейвери понимает, что исправить эту ошибку нелегко. Может оказаться так, что придется полностью переписать приложение. В своей работе он предлагает временное решение, но проблема, по всей вероятности, сохранится до тех пор, пока все производители ПО не повысят степень безопасности своего кода. «Уязвимость к атакам, основанным на системе сообщений, вызвана не какой-то принципиальной ошибкой в Windows, — пишет он. — Во многих случаях ошибка заложена в самом способе написания программ, которые на ней работают». 

 Предыдущие публикации:
2002-08-11   «Дефект» Windows API вызвал дебаты о надежности защиты
 В продолжение темы:
2003-07-17   Microsoft предупреждает о критической проблеме Windows
Обсуждение и комментарии
ggv
14 Jul 2003 4:37 PM
если система допускает неправильное написание кода - он будет написан. Не я это сказал...
 

PTO - ptokgb.ru
14 Jul 2003 5:32 PM
2 ggv: пишем для юникса демон, который пускаем от рута... демон слушает 25й порт (к примеру :))... безо всякой авторизации запускает в шелле как команду все что на этот порт приходит... "если система допускает неправильное написание кода - он будет написан. Не я это сказал... "
 

ggv
14 Jul 2003 5:56 PM
РТО - абсолютно верно
 

ggv
14 Jul 2003 5:57 PM
если root имеет целью убить машину, ничто ему в этом не может помешать. Классический недостаток типично юниксовой схемы
 

ggv
14 Jul 2003 5:59 PM
это, кстати, классика :)
опять блин классика :)
классическая проблема наличия одного "бога" в системе. Нет шоб по уму - разнести роли. безнопастнойть в зависимости от типа действия - одним ролям, выполнение действий - другим, и т.д., ну да вы знаете.
 

ggv
14 Jul 2003 6:07 PM
UNIX то был создан людьми сугубо творческими :) как мы все знаем.
Здорового бюрократизма в ём явно нехватает :)
Но, видимо, это не только проблема юникс :)
Как, собственно и показано в статье мужика. Ну про обмен сообщениями между программами в вынь.
 

ggv
14 Jul 2003 6:11 PM
напоминает старый анектод -
Письмо на email
"Люди добрые, я студент-троечник, написать нормальный вирус немогу, пожалуйста, кто получил это письмо запустите rm -rf от корня!
Спасибо!"
 

ggv
14 Jul 2003 6:12 PM
помоему, ситуция в анектоде ничем не отличаеться от ситуации предложенной РТО :)
Разве нет? :)
 

ggv
14 Jul 2003 6:15 PM
Только статья от том, что MS написала этакий "демон, который пускаем от рута... демон слушает 25й порт (к примеру :))... безо всякой авторизации запускает в шелле как команду все что на этот порт приходит"
и называеться это системой обмена сообщениями. Ну можеть я чего не так понял.
 

bravomail.boom.ru
14 Jul 2003 7:07 PM
всё это грязные происки сетевых админов. даешь свободу локальным юзерам!
 

Anti-MS
14 Jul 2003 7:56 PM
2PTO

Ага и такой демон, он часть винды by desing, и не починить его никак.

А в винде вообще "если делать все правильно" то проблем не будет. А на практике винда никак не продназначена, чтобы там что-либо делать не через ж.. МС говорит пишите мол прямой софт, а сама никак не может позатыкать дыры в своем же кривом софте и в компонентах винды. И такая же ситуация с администрированием. Помните когда был червяк SQLный? Сначала МС кричала что мол просто надо админить как следует, патчики скачивать. А потом оказалось что в своих собственных сетях у нее ситуация такая же.

И дальше будет так же продолжаться. Потому что цель МС - выкачать побольше денег (в том числе уменьшать себестоимость написания кода) идет в разрез с интересами пользователей - получать качественно написаный код.
 

Alexander S.
14 Jul 2003 8:07 PM
2 Anti-MS: Ну спасибо, открыл нам Америку. Оказывается (!!!!) у капиталистической корпорации цель- получение прибыли а не что-то другое.

Вот у нас глаза и открылись. Спасибо, Маркс-II.
 

Petr Chulkov - petrchulkov.net
14 Jul 2003 8:09 PM
2Anti-MS :
>А потом оказалось что в своих собственных
>сетях у нее ситуация такая же.
потому как и там работают люди....
тем более, насколько я помню, проблема была на компах разработчиков, а на серверах, что администрят "взрослые" админы проблемы с этим небыло...
 

рамштекс
14 Jul 2003 10:04 PM
2ggv: полный бред! "как свинья в апельсинах" это самая точная харатеристика
 

ggv
15 Jul 2003 12:28 AM
ёмко :)
 

-
15 Jul 2003 5:00 AM
лучше дайте номер статьи в КБ :)
 

Tolik
15 Jul 2003 6:24 AM
Так всё же кто-нибудь расскажет, что на одном десктопе делают приложения с разными уровнями привилегий ?
 

_nick_
15 Jul 2003 7:17 AM
to Tolik
Насколько я помню, можно искуственно вызвать Dr. Watson, который работает от привиллегированного пользователя.
 

Tolik
15 Jul 2003 7:23 AM
Ну, той прошлой "атаки" описание читали ...

Генштаб после этого месяц пил от черной зависти к стратегам.
Македонский и ганнибал в гробах перевернулись
 

dem
15 Jul 2003 9:25 AM
2ggv а ты на RSBAC посмотри - http://www.osp.ru/os/2002/07-08/020_1.htm , а здесь без воды - http://www.osp.ru/os/2001/04/045.htm.
Вот тебе рут ничего и не сделает. Я жду недождусь хоть одного массового дистрибутива с этим (что-бы в работе обкатать). Вот что значит открытый код. Взяли и сделали защищенную ОС сравнительно небольшими силами...
 

Qrot
15 Jul 2003 10:09 AM
видимо, этот "эксперт" такого же плана что и прошлогодний.. который тоже в статье упоминается. тот, прошлогодний, был безработным - а щас уже старший консультант.. типа приподнялся на PR. а этот глядишь и CTO станет. оно вообще хоть какой-нибудь эксплойт привело или что? а то в заголовке напугали то.. желтая пресса.
 

ggv
15 Jul 2003 11:15 AM
dem - чего ждать то? Role Based Access сделан давно уже и на соляре и на aix. Бери и пробуй. Все описано. при чем тут открытый код - пока не понял...
 

ggv
15 Jul 2003 11:21 AM
dem - кстати, изначально role based access был встроен в NT. именно изначально. Но, видимо, имлементация хромает, или фиг знает чего там. Ну что прокол есть с системой обмена сообшениями. Так что надо еще будет потестить RSBAC. А то вдруг найдуться куча обходный путей... Неприятно будет.
Кстати, sudo - простейшая (но довольно эффективная для своего уровня) форма Role Based Access. Но опять же, не без недостатков.
 

ggv
15 Jul 2003 11:23 AM
И ващще, весь это разговор фигня, а вот когда заставят в трех журналах расписаться, все нафиг из карманов выложить, проверят потом, а потом в комнату типа банковского сейфа запустят - для того, чтобы почитать. И обратно таким же порядком. А по другому безопастность не обеспечить... К сожалению...
 

Anti-MS
15 Jul 2003 11:36 AM
2Alexander S.
Кому-то не новость, но не все это понимают тем не менее. Не все "Капиталъ" читали ;)

2Petr Chulkov
Ну конечно ;) Во крупных фирмах, никто сам ничего не админит. ВСЯ техника обслуживается "взрослыми" админами.
Правильно тоже людьми, это и доказывает что де факто МС не может обеспечить безопасность как бы не старались.
 

dem
15 Jul 2003 12:44 PM
2ggv Ну ежели role based access в NT, то тогда точно труба. Кде в NT секьюрити офицер? Как система может САМА понизить привилегии Ворда что-бы он из папки "Мои документы" не выползал? Мы-же но о простейших принципах говорим. А то получаются сферичиские кони в вакууме. А вот AIX и прочие ксениксы с ашпуксами я к сожалению не щупал. Начальство все больше деньги на мерседесы тратит.... Но если просветите буду очень благодарен. Опен Соурц тут причем? Да притом что без него этим ребятам пришось бы делать всю ОС с нуля. А потом офисы под нее. Про нашу ос Феникс слышали? Вот и я только слышал. А RSBAC попробовать могу. (так сказать народный автомобиль)
 

Tolik
15 Jul 2003 1:08 PM
Ну, в NT еще нету, а в .NET оно есть.
Вполне может как раз и понизить
 

ggv
15 Jul 2003 1:58 PM
dem - я не знаю, как там в NT реализовано, просто читал давно, что ее на C2, что-ли, сертифицировали. Ну видимо конкретный экземпляр, или как там водиться. Как в соляре и aix сделано - в доке доступной на их сайтах всё описано. Что можно сделать, что нельзя. Но я не думаю, что у обоих из них это совершенные системы.... Иначе бы вою было - на весь свет! :)
 

dem
15 Jul 2003 2:27 PM
2ggv А я почитал как в RSBAC сделано, обалдел. Там даже системные вызовы процесс имеет право делать только так как разрешено. Причем последовательность вызовов тоже можно указать. Единственное сразу приходит мыслью Это-же все еще указывать надо!!! А если говорить о всяких вордах, которые в момент своей работы спонтанно (ну тоесть даже их создатель не уверен что они делают из-за всяких COM) с кем только не работают, начиная от файлов кончая MAPI ODBC OpenGL и прочими сокетами. Это-же неимоверно?
Я кстати когда впервые политики увидел, то-же подумал: Это-же теперь за каким количеством параметров следить надо??? Это-же теперь при установке системы надо ничего не забыть. А проверить как? А если слетело (скажем умный инсталлер снес)? Вот МС на червя и попал.. Чем сложнее технология, тем сложнее за ней следить. Тут и вспоминаешь об ИБМ проекте Элиза помоему. Но тут другое, а если эту элизу накроет???
 

PTO - ptokgb.ru
15 Jul 2003 5:16 PM
2 ggv: не, статья не про то, что система обмена сообщениями у МСа есть такой демон, а что в одном из сервисов есть бага, которую можно использовать посредством системы обмена сообщениями

2 Anti-MS: правда никак?! а чего бы его под пользователем с ограниченным полномочиями не запустить... или вообще задизейблить нафиг?

вы правда думаете, что в МСе все машины централизованно администрятся? дык там у каждого манагера на машине может стоять какой-нить MSDE, в котором такая бага тоже происходит... ну в Оракле ходил сламмер... там наверное тоже всякие криворукие сидят... (я видел письмо от Ларри Элиссона своим орлам - дружбан из Оракла показывал)

Вот ведь странно... каждый год МС увеличивает сильно вложения на research & development увеличивая стоимость написания кода вроде бы... ан оказывается все наоборот

2 ggv: по ролевой системе безопасности - она по-другому называется на самом деле... в системе есть права и привелегии (право - прочитать такой-то файл, привелегия - добавить нового пользователя)... по-умолчанию Администратор есть носитель большинства привелегий, но можно создать других пользователей, раздать им привелегии и часть у админа удалить (но он же может их себе снова вернуть :))... аудит так же наличиствует и специальный аудитор безопасности может собирать себе на машину всю информацию и контролировать админа и секьюрити админа (кто контролирует контролирующего (с) кто-то из великих)

ролевые определения безопасности сейчас широко используются в приложениях МСа... СКЛ-сервер - ролевая безопасность, Эксчендж - ролевая, Шарепоинт - ролевая... в Вин2003 роли назначаются уже не пользователям, но серверам... это для упрощения того геммороя, про который рассказывает dem - т.е. по умолчанию все закрыто, говорим серверу - будешь ты "веб-сервер" и включаются те настройки, которые ему нужны для минимальной работы, потом уже включаются дополнительные сервисы (АСП и АСП.НЕТ к примеру)

2 dem: секьюрити админ в нт называется просто "администратор", он создает других пользователей, раздает им привелегии на выполнение определенных функций администратора (сбросить очередь печати, поменять пароль человека из своего отдела)... делается это еще с помощью делегирования полномочий - если вы действительно планировали разворачивание АД, то должны про это знать. Сделать ворд работающим только в одном каталоге не проблема. на самом деле именно так ворд и работает с ZAK - zero administration kit - там пользователям прописываются функциональные роли - т.е. вот "вася пупкин - операционист - ему можно только ИЕ вот на такие сайты и с такими-то настройками безопасности - вон "тетя маша" - бухгалтер - ей можно запускать эксель и 1с, при этом доступ только вот в эту папку... при этом этот Эксель никуда не сможет сохранить файл окромя папки данного пользователя. В ближайшее время нас еще ждет выпус новой примочки от МСа... для ВС2003 - типа создал я в ворде документ - посылаю его коллеге... а он может только его на экране посмотреть - ни распечатать, ни в клипбоард скопировать... типа нечто аля "мандатори акцесс"... посмотрим как это будет работать - мне так кажется гемморойно будет... хотя адвокатские конторы будут счастливы

2 ggv: NT 3.51 был сертифицирован на С2 без сети, НТ4 с сетью, Вин2000 по коммон критерию EAL4 (примерно B1-B2 старых цветных книг - но они сожжены уже). по правилам сертификации на С2 сертифицируется _система_ в целом... как чего настроить есть на сайте МСа весьма подробно...
 

ggv
15 Jul 2003 9:51 PM
это хорошо, если это только бага, а не ошибка в архитектуре, приводящая к появлению багов.
 

Дима
16 Jul 2003 10:13 AM
to PTO: Не, Андрей, про B1 ты слегка загнул все же... ;-)
 

dem
16 Jul 2003 10:50 AM
2PTO Мне кажется вы не поняли про офицера. Дело в том что как вы сказали администратор МОЖЕТ себе права вернуть... Опять-же то что можно сказать что машина веб сервер это хорошо (шаблоны грамотных настроек в принципе и все).
Насколько я знаю что-бы софтина подчинялась политикам, я как программист должен учесть это при написании кода. А в RSBAC я кладу ЛЮБУЮ софтину. Собираю статистическую информацию по системным вызовам и строю карту переходов (как KA). Тоесть например почтарь имеет право запускать вим только после того как он сохранил в tmp файл и этот вим имеет право открывать только этот файл (роль у него такая). Может конечно я не прав. Но IMHO так если даже дырка в экселе, фиг он куда выберется
 

PTO - ptokgb.ru
16 Jul 2003 11:15 AM
2 Дима: ну типа ряд требований выполняет :)... не все... четкого соответствия между коммонкритерия и радужными книгами нет... но "большие юниксы" сертифицированные до СС на Б1 сертифицированы по СС на тот же уровень, что и Вин2000... вот тут есть сравнение на одном из слайдов http://www.isse.gmu.edu/~fparisi/notes/Lecture9-handout.pdf там видно чему соответствует ЕАЛ4
 

PTO - ptokgb.ru
16 Jul 2003 11:23 AM
2 dem: секьюрити офицер в РСБАКе точно такой же бог и царь... он может себе назначить что угодно. т.е. в виндах "Администартор" = "секьюрити офицер"... он может завести _других_ админов, у которых будут менее крутые полномочия в системе. далее, любая программа в виндах выполняется в контексте безопасности пользователя... и если ему разрешено читать/писать только туда, то и прога не сможет это обойти... т.е. если применены политики безопасности и пользователю сказано, что он может знать только об этом каталоге, то какую-бы программу он не запустил на CreateFile() или поиск он будет получать инфу только из системы... попробуйте позапускать ФАР - он будет видеть только МайДокументс... я сам один раз попал - был общедоступный комп - мне нужно было скачать побыстрому файлик... зашел к себе в почту, скачал в Майдокументс... вставляю ЮЗБ ключик... система его распознает, добавляет как новое устройство типа диск... только вот я его не вижу и никакими способами у меня не получилось тот файл скопировать...
 

dem
16 Jul 2003 11:39 AM
2PTO Цитата "При этом root, «всесильный администратор», не может ни повлиять на защиту RSBAC, ни прочитать значительную часть хранимой в системе информации. Так, в Castle по умолчанию пользователь с правами root не может читать информацию пользователей из каталога /home. Администрированием прав RSBAC занимается «офицер безопасности» secoff, который в остальном — обычный пользователь, неспособный своими действиями повредить систему. Тем не менее, только у него есть полномочия на изменение поведения защиты RSBAC. " Тоесть неправда ваша офицер в рсбаке не всесилен и даже права себе не может дать... Кстати А как тогда получится запустить FAR если доступа вообще нет никуда кроме My Documents? Тоесть даже execute доступа получается нет? А если есть. то фар плагины свои ищет....
 

PTO - ptokgb.ru
16 Jul 2003 12:45 PM
2 dem: офицер безопасности может назначить роль "системный администратор" пользователю "мнелюбимому"... это в ЕГО роли прописано, что он назначает роли другим... пользователи в Виндах создаваемые с их пользовательскими каталогами тоже только могут их читать - админу туда доступа нет - только если он сделает take ownership данного файла/каталога

пользователю можно прописать какие приложения он может запускать... более ничего он не сможет запустить

Встречный вопрос - проглядел еще раз доки на РСБАК... что-то не понял я какой модуль обеспечивает контроль последовательности вызовов в приложениях - ну типа если вот это приложение не прочло файл такой-то, то не сможет отправить пакет по порту такому-то... или что-то типа этого... или вы просто про аудит событий безопасности разговор вели?
 

dem
16 Jul 2003 4:53 PM
2PTO Судя по всему я выдал желаемое за действительное (или где-то еще прочел). Тоесть не надо строить никаких последовательностей системных вызовов. Но модель Белла-Лападулы (модуль MAC) как я понял делает нечто подобное. Тоесть VIM запущенный из почтового клиента выполняет роль смотрелки писем и следовательно имеет доступ только к файлам созданым самим почтовым клиентом.
 

 

← июнь 2003 8  9  10  11  14  15  16  17  18 август 2003 →
Реклама!
 

 

Место для Вашей рекламы!