кода либо отказа в обслуживании. Не вдаваясь в технические подробности, еще раз отметим, что абсолютное большинство из вышеперечисленных уязвимостей служб эксплуатируется по механизму переполнения буфера. Переполнение буфера (buffer overflows) на сегодняшний день является самой распространенной уязвимостью в области безопасности ПО. Уязвимость подобного рода широко используется в механизмах проникновения компьютерных червей, таких, например, как CodeRed, Slammer, Lovesan, Zotob и т. д. Помимо червей, уязвимости на переполнение буфера активно используются и для организации атак типа DoS (Denial of Service – отказ в обслуживании), в частности DDoS (Distributed – распределительный), поэтому сомневаться в силе и могуществе данной уязвимости просто не имеет смысла.
Рассмотрим подробнее особенности уязвимостей некоторых служб из вышеупомянутого списка.
¦ Print Spooler Service (MS05-043). Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Уязвимость существует из-за отсутствия проверки длины буфера в процессе spoolsv.exe. Удаленный пользователь может послать сервису специально сформированный пакет, вызвать переполнение буфера и выполнить произвольный код на целевой системе или вызвать отказ в обслуживании. Уязвимые системы: Microsoft Windows 2000, XP, 2003.
¦ Plug and Play Service (MS05-047, MS05-039). Уязвимость стандарта Plug and Play делает возможным удаленный запуск программного кода и несанкционированное локальное расширение полномочий. Описание: несколько уязвимостей форматной строки обнаружены при вызове функции wsprintfW() в библиотеке UMPNPMGR.DLL службы Plug and Play. В двух случаях проверка подлинности входных данных производится посредством сравнения соответствия ключу реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum. Хотя вся ветка реестра защищена от записи для непривилегированных пользователей, злоумышленник может с помощью специально сформированной строки, содержащей произвольное количество символов обратной черты, обойти проверку подлинности. В Windows 2000, без установленного исправления MS05-039, удаленный пользователь может без процедуры аутентификации получить доступ к интерфейсу UMPNPMGR посредством именованного канала конечных RPC-точек: PIPEbrowser, PIPEsrvsvc и PIPEwkssvc. Если исправление установлено, для успешной эксплуатации уязвимости злоумышленнику потребуется авторизация. Уязвимость в Microsoft Windows XP SP2 может быть эксплуатирована лишь локальным авторизованным пользователем. Уязвимые системы: Microsoft Windows 2000 SP4, Microsoft Windows XP SP1, SP2.
¦ Server Message Block Service (MS05-027, MS05-011) – выполнение произвольного кода в Microsoft Server Message Block. Уровень опасности – критический. Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за недостаточной проверки входных SMB-пакетов. Удаленный пользователь может с помощью специально сформированного SMB- пакета выполнить произвольный код на целевой системе. Уязвимые операционные системы: Microsoft Windows 2000, XP, 2003.
¦ Exchange SMTP Service (MS05-021). Уязвимость Exchange Server может привести к запуску произвольного кода. Уязвимость существует в сервисе Internet Mail почтового сервера Exchange Server 5.5 и Exchange 2000 Server и может позволить нападающему установить соединение с портом SMTP этого сервера и отправить специальным образом расширенный вербальный запрос, который приведет к выделению под него большого объема памяти. Это может привести к падению сервиса Internet Mail или к отказу пакета в работе по причине недостаточного объема доступной памяти. Кроме того, в Exchange 2000 Server уязвимость позволяет атакующему, при условии создания тщательно подобранной последовательности данных, вызвать переполнение буфера, которое может привести к возможности запуска вредоносных программ в контексте зоны безопасности сервиса SMTP. Для предотвращения возможности проведения атаки можно воспользоваться специальными программами, фильтрующими SMTP-трафик перед отправкой его на Exchange Server. Как сообщает Microsoft, система Exchange Server 2003 свободна от данной уязвимости. Уязвимости подвержены компьютеры, на которых запущены Microsoft Exchange Server 5.5, Service Pack 4 или Microsoft Exchange 2000 Server, Service Pack 3.
¦ WINS Service (MS04-045) (Microsoft Windows Internet Naming Service). Проблема связана с некорректной проверкой определенных параметров запросов, в результате чего может произойти выполнение произвольного вредоносного кода на удаленном ПК. Дыра есть в операционных системах Windows NT, 2000, Server 2003 (в том числе 64-битной модификации).
¦ NNTP Service (MS04-036). Удаленный пользователь может представить специально обработанное, чрезмерно длинное сообщение, чтобы вызвать переполнение буфера в NNTP-компоненте (Network News Transfer Protocol). Успешная эксплуатация позволяет выполнить произвольный код на целевой системе, в которой используется NNTP. Уязвимость обнаружена в серверных
версиях Windows NT/2000/2003.
¦ NetDDE Service (MS04-031). Переполнение буфера обнаружено в NetDDE-службе. Уязвимость позволяет удаленному атакующему выполнить на уязвимой системе произвольный код с SYSTEM- привилегиями. Служба NetDDE отключена по умолчанию. Опасность – средняя. Уязвимые системы: Microsoft Windows NT Server 4.0 Service Pack 6a, Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6, Microsoft Windows 2000 Service Pack 3 и Microsoft Windows 2000 Service Pack 4, Microsoft Windows XP и Microsoft Windows XP
Service Pack 1, Microsoft Windows XP 64-Bit Edition Service Pack 1, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows Server 2003, Microsoft Windows Server 2003 64-Bit Edition.
Подводя итог, совершенно очевидно, что избежать эксплуатации уязвимостей можно: достаточно лишь установить соответствующе заплатки безопасности с официального сайта Microsoft. Совершенно очевидно и другое: в информационной безопасности есть такое определение, как 'окно опасности' (извините за некоторую тавтологию). Термин подразумевает под собой время с момента обнаружения конкретной уязвимости до момента выхода и установки в уязвимую систему соответствующего обновления. Так вот, очень часто это самое окно оказывается недопустимо большим, и тогда возникает закономерный риторический вопрос: а имеет ли смысл устанавливать заплатки вообще? Поразмыслив таким образом некоторое время, приходишь к некому рационалистическому компромиссу: лучше поздно, чем никогда. Яркое подтверждение тому – червь MS Blast (эксплуатирует уязвимость в службе LSASS), который и поныне можно подцепить без второго сервис-пака.
IE – генератор зла?! Оценив количество обновлений народного браузера в контексте интернет-безопасности, иначе, чем генератором зла, IE назвать достаточно трудно. Посудите сами:
¦ Cumulative Security Update for Internet Explorer (MS05-052);
¦ Cumulative Security Update for Internet Explorer (MS05-038);
¦ JView Profile Remote Code Execution (MS05-037);
¦ Cumulative Security Update for Internet Explorer (MS05-025);
¦ Cumulative Security Update for Internet Explorer (MS05-020);
¦ Cumulative Security Update for Internet Explorer (MS05-014);
¦ Windows Shell Remote Code Execution (MS05-008);
¦ Cumulative Security Update for Internet Explorer (MS04-040);
¦ Cumulative Security Update for Internet Explorer (MS04-038);
¦ Cumulative Security Update for Internet Explorer (MS04-025).
При всех 'наездах' на IE, выражающихся в многочисленных отчетах об обнаруженных уязвимостях, необходимо признать, что корпорация Microsoft обеспечивает-таки какую-никакую техническую поддержку продукта, регулярно выпуская соответствующие обновления. Очередной раз критикуя браузер, который тем не менее по сей день остается одним из самых популярных продуктов в своем роде, необходимо помнить, что немалое количество обнаруженных уязвимостей IE – это не изъян самого продукта, а результат пристального внимания к IE со стороны киберсообщества (по крайней мере это официальная позиция Microsoft).
Если на ваш IE не установлены необходимые пакеты обновлений, то, чтобы подцепить какую-либо заразу, вам вовсе не обязательно что-либо скачивать или запускать. Для заражения достаточно просто посетить страницу со злонамеренным кодом.
Есть ли выход и как снизить риск поражения без установки соответствующих заплаток? Абсолютное
