Kaspersky Lab ir atklājis nulles dienas ievainojamību tehnoloģijā Silverlight, kas tiek izmantota multivides satura attēlošanai internetā. Izmantojot šo drošības caurumu, uzbrucēji var piekļūt inficētam datoram un nozagt konfidenciālu informāciju vai veikt citas ļaunprātīgas darbības. Ievainojamība CVE-2016-0034 ir novērsta jaunākajā servisa pakotnē, ko uzņēmums Microsoft ir izlaidis 2016. gada 12. janvārī. Savukārt šī ievainojamība tika atrasta izmeklēšanā, ko Kaspersky Lab uzsāka pirms vairāk nekā pieciem mēnešiem.

Notikumi aizsākās 2015. gada vasarā, kad tika publicētas ziņas par hakeru uzbrukumu uzņēmumam Hacking Team («legālas» izsekošanas programmatūras izstrādātājam). Kādā materiālā, kas bija publicēts izdevumā Ars Technica, tika stāstīts par saraksti starp uzņēmuma pārstāvjiem un krievu mūķu izstrādātāju Vitāliju Toropovu. Izdevums rakstīja, ka V. Toropovs ir centies pārdot Hacking Team mūķi ļoti interesantai nulles dienas ievainojamībai, proti, četrus gadus vecam caurumam Microsoft tehnoloģijā Silverlight, kas tajā laikā joprojām nebija novērsts. Tieši šī informācija piesaistīja Kaspersky Lab pētnieku uzmanību.

microsoft-silverlight

Sīkāka informācija par mūķi rakstā nebija sniegta, tāpēc eksperti uzsāka patstāvīgu izmeklēšanu, izmantojot pārdevēja vārdu. Drīz viņi noskaidroja, ka persona, kas sevi dēvē par Vitāliju Toropovu, ir aktīvs atklātās ievainojamību datubāzes (Open Sourced Vulnerability Database — OSVDB) lietotājs — viņš regulāri to papildina ar jaunu informāciju. Izpētot viņa profilu vietnē OSVDB.org, Kaspersky Lab eksperti noskaidroja, ka 2013. gadā V. Toropovs ir publicējis eksperimenta rezultātus, kuros tiek aprakstīta programmēšanas kļūda tehnoloģijā Silverlight. Runa bija par vecu, zināmu ievainojamību, kas tolaik jau bija novērsta, taču aprakstā bija pieminētas dažas detaļas, kas ļāva Kaspersky Lab ekspertiem saprast, kādā veidā mūķu autors raksta kodu.

Izmantojot iegūto informāciju, pētnieki izstrādāja dažus atklāšanas noteikumus, kas tika ieviesti Kaspersky Lab aizsardzības tehnoloģijās. Tā kā V. Toropovs bija mēģinājis pārdot mūķi Hacking Team, tika pieņemts, ka viņš droši vien ir piedāvājis savu preci arī citiem spiegprogrammatūru izstrādātājiem, tāpēc agri vai vēlu mūķis tiks izmantots kādā kiberspiegošanas kampaņā.

Pieņēmums izrādījās pareizs. Dažus mēnešus pēc šo atklāšanas noteikumu ieviešanas caur mākoņinfrastruktūru Kaspersky Security Network (KSN) tika saņemta informācija no Kaspersky Lab aizsardzības izstrādājumu lietotāja par mēģinājumu inficēt ar ļaundabīgu datni, kam piemita tieši tās īpašības, ko meklēja eksperti. Un vēl pēc dažām stundām lietotājs no Laosas (iespējams, uzbrukuma upuris) multiskenerī ielādēja datni ar tādām pašām īpašībām. Izanalizējot uzbrukumu, kurā tika lietotas šīs datnes, Kaspersky Lab eksperti noskaidroja, ka rīkotāji ir izmantojuši vēl nezināmu ievainojamību tehnoloģijā Silverlight. Informācija par to tika nekavējoties nodota Microsoft.

«Mēs joprojām neesam pārliecināti, ka esam atklājuši Ars Technica rakstā minēto mūķi, taču mums ir nopietns pamats uzskatīt, ka tas tā ir. Salīdzinājuši atklāto datni ar Vitālija Toropova OSVDB publicēto darbu, mēs pieņemam, ka mūķa veidotājs un šī eksperimenta autors ir viena un tā pati persona, lai gan mēs pieļaujam, ka esam tikai atklājuši vēl vienu nezināmu Silverlight nulles dienas ievainojamību. Lai kā tas būtu, mūsu darbs ir ļāvis novērst vienu caurumu un tādējādi padarīt kibertelpu mazliet drošāku. Mēs iesakām visiem Microsoft izstrādājumu lietotājiem, cik drīz vien iespējams atjaunināt sistēmu, lai slēgtu atklāto ievainojamību,» norādīja Kaspersky Lab Globālā draudu pētniecības un analīzes centra vadītājs Kostins Raju.

Kaspersky Lab izstrādājumi nosaka ievainojamības CVE-2016-0034 mūķi ar nosaukumu HEUR:Exploit.MSIL.Agent.gen.

Par izmeklēšanu, kas ļāva atklāt un novērst kritisku ievainojamību tīmekļa tehnoloģijā Silverlight, vairāk lasiet šeit https://securelist.com/blog/research/73255/the-mysterious-case-of-cve-2016-0034-the-hunt-for-a-microsoft-silverlight-0-day/.

Komentāri 3

Leave a Reply

  • Tas pats Jānis
    January 19, 2016, 13:19

    Lieliski!
    Atklājām ievainojamību tehnoloģijā, ko neviens neizmanto!
    Ura, tovarišči!

  • smaragds
    January 19, 2016, 12:14

    Nu un?
    Tagad kaadam buutu jaapeerk sliktaakais antiviiruss deelj kaarteejaa reklaamraksta?

  • Oto
    January 19, 2016, 11:55

    Paši pūta, paši dega.