Bezpečnostní průšvih pro Windows jak hrom, říkají hackeři. Chybou související s DLL jsou postiženy stovky aplikací

Spousta nejznámějších programů ve Windows představuje bezpečnostní riziko pro celý systém. Důvodem je chybná funkce nahrávání všudepřítomných knihoven DLL. Opravy nepřijdou jen tak – programy musí být opraveny jeden po druhém ze strany výrobců. Microsoft uživatelům poskytl dva nástroje, které by riziko infikování Windows měly snížit.

Bezpečnostní expert HD Moore, šéf Rapid7, 18. srpna na Twitteru upozornil na to, že několik desítek populárních aplikací pro Windows trpí vážnou chybou, která útočníkům umožňuje pohodlně napadnout systém. Jako první chybu ve své aplikaci opravil Apple – a to už před čtyřmi měsíci. Microsoft hlášení o zranitelnosti ignoroval vlastně po celý rok; podle jiných dokumentů to ale možná bylo neskutečných 10 let.

Za pár dní poté se kolotoč událostí roztočil naplno, na webu se objevily útočné kódy schopné napadnout desítky nejznámějších programů a počet zranitelných programů rostl, podle jiných odborníků se problém týká více než dvou stovek aplikací.

V tu chvíli bylo jasné, že v nebezpečí jsou všechny operační systémy Windows s nejpoužívanějšími programy, jako jsou webové prohlížeče Firefox, Opera, Chrome, Skype, kancelářská sada MS Office 2007, Photoshop aj. 

Microsoft hlášení o zranitelnosti Windows a aplikací pro Windows potvrdil 23. srpna. Záhy na to uveřejnil nástroj, který měl být schopný známé útoky zastavit. Nešlo však o záplatu – ta prakticky existovat nemůže –, ale o jakousi berličku, která problém řešila jen zčásti a dočasně.

Problém totiž je, že chyba není jen v samotném systému Windows – kterou Microsoft může opravit, i když patrně jen částečně –, ale ve spoustě aplikací třetích stran. A to ve způsobu, jakým aplikace volají knihovny DLL (dynamicky linkované knihovny).

Útočníci mají do uživatelských systémů snadnou cestu. Stačí jim totiž, aby aplikace načetla knihovnu stejného jména, jakou má pravá knihovna DLL. Úspěšné načtení totiž nezávisí na cestě k pravé knihovně, ale pouze na jejím názvu. Upravenou knihovnu se zákeřným kódem mohou útočníci uživatelům podstrčit různými způsoby, nejsnáze přes webovou stránku, otevřením podstrčeného souboru nebo i připojením USB s nebezpečným kódem.

Během prvních dvou dnů se objevily desítky útočných kódů (a ukázkových kódů pro proof-of-concept útoky). HD Moore k identifikaci zranitelných programů vytvořil nástroj s názvem DLLHijackAuditKit. Díky tomu seznam zranitelných aplikací rychle roste.

Pracovníci z firem zabývajících se bezpečností softwaru se shodují, že chybné chování Windows a aplikací související s voláním DLL bude velký problém. Marc Fossi ze společnosti Symantec uvedl, že nikdy neviděl tak rapidně se rozrůstající seznam zranitelných aplikací.

Moore serveru Computerworld.com řekl, že svět Windows naposledy zažil podobný problém v roce 2006, kdy se na internetu objevil nástroj AxMan, který odhalil stovky nových bezpečnostních chyb v ActiveX - během let velmi kritizovaném frameworku od Microsoftu, který často otevíral útočníkům dveře do Windows přes webový prohlížeč Internet Explorer.

Stejně jako další experti se Moore domnívá, že jeho nástroj povede ke zlepšení bezpečnosti Windows a dalších programů. Odkazuje právě na výsledek nástroje AxMan. I tehdy pomohl odhalit stovky bezpečnostních chyb, které byly poté opraveny. Vývojáři si mohli snadno zjistit, zda jejich kódy neobsahují stejné, lehce zneužitelné chyby. A Moore je přesvědčen, že totéž bude platit v případe jeho nástroje DllHijackAuditKit.

I když některé aplikace se ze strany vývojářů dočkaly rychlých oprav (uTorrent, Wireshark), co se chybného načítání DLL týče, Microsoft odmítl říct, jaké jeho produkty touto chybou trpí. Přitom výzkumníci mu hlášení o chybách a postižených aplikacích předali již před rokem.

Microsoft teď jen odkázal uživatel na nástroj, který funguje jako dočasné řešení a zabraňuje načítání DLL knihoven ze vzdálených adresářů (např. přes internet) nebo z USB klíčenek a disků.

Na webu se mezitím "neoficiální" seznam zranitelných aplikací rozrostl. Z těch od Microsoftu se chyba dotýká kromě zmíněné sady MS Office 2007 také Windows Mail, Movie Maker, Vista Backup Manager, Internet Connection Signup Wizard, Address Book, DirectShow SDK Filter Graph Editor, Nápověda a odborná pomoc Windows a dalších.

Na blogu Microsoftu se mezitím objevil příspěvek od Jerryho Bryanta z týmu Microsoft Security Response Center, ve kterém bylo oznámeno, že Microsoft chyby ve svých produktech opraví po svém, buď formou bezpečnostních aktualizací nebo aktualizacemi typu 'defence-in-depth' – tam patří právě zmíněné protiopatření zabraňující načítání DLL ze vzdálených úložišť.

Problém ovšem je, že mnoho uživatelů vůbec nevědělo a stále neví, jak s takovým nástrojem zacházet. Složitost celé procedury kritizovali i bezpečnostní pracovníci z různých firem. Microsoft vydal další rozšíření „záplaty“ v podobě balíčku FixIt. Nicméně je nutné před spuštěním FixIt spustit i předchozí skript.

Microsoft o zranitelnosti a způsobu provedení útoků věděl přinejmenším od srpna loňského roku, kdy na problém upozornili výzkumníci z Kalifornské univerzity v Davisu. Podle jiných hlášení však byla chyba popsána již před desíti lety – rok nato začaly první útoky. Příkladem je červ Nimda, který se šířil přes chybu v MS Office 2000.

Microsoft přiznal, že může trvat dlouho, že potřebné záplaty vyvine a vydá. V některých případech, jak poznamenal Bryant, nebude možné záplaty vytvořit vůbec.

Útokům se říká také "binary planting", česky bychom mohli říct "binární sázení", čímž se myslí, že útočníci mohou do systému Windows volně sázet svá semínka zákeřných kódů přes falešné knihovny DLL. Ačkoli je pravda, že chyby ve svých aplikacích budou muset opravit sami výrobci, Mati Aharoni ze společnosti Offensive Security řekl, že je to chyba samotných Windows. Účinnou obranou před těmito útoky by bylo změnit to, jak Windows pracují s DLL. Takový zásah by si nejspíše žádal přepsání části Windows, což by trvalo dlouhou dobu, a navíc by taková změna bezesporu přinesla potíže aplikacím třetích stran, které by přestaly fungovat.

Jedinou prozatímní spolehlivou ochranou je opatrnost uživatelů Windows. Nenavštěvovat nedůvěryhodné webové stránky, například prostřednictvím odkazů v e-mailech poslaných neznámými odesílateli, a nestahovat nasdílená data z neznámých zdrojů.

Dva nástroje pro dočasné řešení jsou ke stažení zde a zde (instalace druhého balíčku vyžaduje předchozí instalaci prvního). Druhý odkaz obsahuje i podrobný návod (anglicky). Méně zkušenější uživatelé by měli o pomoc požádat případně někoho zkušenějšího.  

3. 9. 2010

Autor: Oldřich Klimánek