Производители ПО массово закрывают уязвимости, которыми пользовалось ЦРУ



    Apple, Google, Microsoft, Samsung и другие компании быстро отреагировали на утечку документов ЦРУ с подробным описанием хакерских инструментов и десятков 0day-уязвимостей в популярных программах и устройствах.

    Одними из первых вчера вечером отчитались разработчики текстового редактора Notepad++, который ЦРУ эксплуатировало через подмену DLL. Этот редактор поддерживает подсветку синтаксиса для разных языков программирования, так что им пользуются даже некоторые разработчики.

    В документах Vault 7 оказалось упоминание подмены DLL в Notepad++. Точнее, один из разработчиков или тестировщиков эксплойта жалуется на небольшую проблему с работой готового эксплойта. Как упоминается в этой заметке, Notepad++ загружает Scintilla — «компонент редактирования кода» (отдельный проект) из динамической библиотеки SciLexer.dll, примыкающей к исполняемому файлу. Из этой библиотеки экспортируется только одна функция под названием Scintilla_DirectFunction.

    Специалист цитирует открытый исходный код Notepad++ для определения прототипа экспортируемой функции:

    sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)

    Программист или тестировщик признаётся, что ему никак не удаётся обратиться к этой функции, хотя он даже установил дополнительные плагины, которые должны напрямую контактировать с Scintilla. В то же время он даёт понять, что нынешний прототип [с подменой библиотеки SciLexer.dll] работает нормально — и выражает надежду, что коллеги решат эту проблему тоже.

    Разработчики Notepad++ буквально на следующий день после утечки документов выпустили новую версию Notepad++ 7.3.3, где решили проблему с подменой оригинальной DLL на библиотеку SciLexer.dll от ЦРУ, которая выполняет сбор данных в фоновом режиме.

    Проблему решили кардинально. Теперь с версии 7.3.3 редактор будет проверять сертификат у библиотеки SciLexer.dll перед её загрузкой. Если сертификат отсутствует или недействительный, то библиотека не будет загружаться — и сам редактор Notepad++ работать не будет.

    Проверка сертификата не является абсолютной защитой. Разработчики программы верно замечают, что если злоумышленник получил доступ к компьютеру, то формально может сделать на нём что угодно с системными компонентами. Данная защита просто не даёт текстовому редактору загружать вредоносную библиотеку. Но никто не мешает ЦРУ заменить, например, не библиотеку, а сразу весь исполняемый файл notepad++.exe, если уж ЦРУ контролирует компьютер.

    Разработчики сравнивают эту защитную меру с установкой замка на входные двери. Понятно, что замок на двери не защитит от людей, которым действительно нужно проникнуть внутрь, но всё-таки принято запирать дверь каждый раз, когда вы выходите из дому.

    Другие популярные программы


    Хак для Notepad++ был частью операции Fine Dining, в рамках которой ЦРУ выпускало эксплойты для различных популярных программ. Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.

    • VLC Player Portable
    • Irfan View
    • Chrome Portable
    • Opera Portable
    • Firefox Portable
    • ClamWin Portable
    • Kaspersky TDSS Killer Portable
    • McAfee Stinger Portable
    • Sophos Virus Removal
    • Thunderbird Portable
    • Opera Mail
    • Foxit Reader
    • Libre Office Portable
    • Prezi
    • Babel Pad
    • Notepad++
    • Skype
    • Iperius Backup
    • Sandisk Secure Access
    • U3 Software
    • 2048
    • LBreakout2
    • 7-Zip Portable
    • Portable Linux CMD Prompt

    Конечно, у ЦРУ есть гораздо более продвинутые эксплойты. Например, с внедрением руткита в ядро операционной системы, инфицированием BIOS и т.д. Но этот пример показывает, что разведчики не отказывались от более простых и менее технологичных способов, таких как подмена DLL. Возможно, эти простенькие эксплойты разрабатывали начинающие стажёры или сторонние подрядчики.

    Понятно, что полностью защититься от слежки со стороны правительства невозможно — у них слишком большие ресурсы. Но если в наших силах закрыть какую-то уязвимость — нужно это делать, несмотря на общую бесполезность процесса.

    Так или иначе, но другие производители ПО тоже отчитались о предпринимаемых мерах.

    Apple заявила, что многие из уязвимости в её устройствах и программном обеспечении, которые упоминаются в документах, уже неактуальны, то есть отсутствуют в последней версии iOS. Очевидно, остальные «дыры» залатают в ближайших релизах.

    Microsoft прокомментировала: «Мы в курсе документов и изучаем их».

    Samsung, у которой ЦРУ взломало телевизоры серии F8000, заявила: «Мы осведомлены об отчёте и экстренно изучаем этот вопрос».

    Директор по информационной безопасности и конфиденциальности Google выразила уверенность, что последние обновления безопасности Chrome и Android должны защитить пользователей от большинства упомянутых в документах уязвимостей: «Наш анализ продолжается и мы реализуем любые необходимые меры защиты».

    UPD: Джулиан Ассанж сегодня сказал, что технологические компании получат эксклюзивный доступ к эксплойтам ЦРУ до их публикации в открытом доступе.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 64

      0
      >>>Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.
      >>>2048
      Никому нельзя верить.
      • UFO just landed and posted this here
        –2
        Обновления на Notepad++ сейчас имеются только 7.3.2, без упоминания о Vault7. «Дайте мухе шанс»?
          +2
          https://notepad-plus-plus.org/news/notepad-7.3.3-fix-cia-hacking-issue.html На сайте. Отдадут автообновлению через пару дней, как только удостоверятся что багов никаких не привнесло.
          +22

          В начале марта 2017 самой безопасной ОС оказалась ReactOS. У ЦРУ не нашли ни одного эксплоита для нее.

            +4

            Отличный маркетинг

              +20
              Неуловимый Джо
                +16
                Как бы то ни было, эффект Неуловимого Джо действительно обеспечивает наивысшую защиту от эксплойтов.
                  –2
                  Что за эффект?
                    0
                    Неуловимый потому что никому не нужен
                      +1
                      Неуловимый Джо потому и неуловимый, что никому не нужен и никто не пытается его поймать
                      +5
                      А разве виндовые не будут работать из «коробки» на этой ос? Или они не настолько совместимы? Было бы интересно прочитать квалифицированный ответ.
                        +1
                        Так совместимость только по интерфесам, а эксплойты, надо думать, у них свои собственные.
                      0
                      Использование не сильно распространенных инструментов — это один из способов защиты. Потому что как правилоа массированные атаки заточены под массовое ПО. Так просто дешевле и эффективнее.
                      ТАк что вполне себе защита
                      +12
                      Ни один виндовый эксплойт не заработал? Непорядок, надо улучшать совместимость
                        0
                        Так она ж ещё не особо юзабельна. По сути отсутствие эксплоита это не признак безопасности, а лишь следствие малой популярности.

                        зы. Нда. Надо обновлять комментарии перед отправкой…
                          0
                          Я там и для Redox ни одного эксплойта не нашел!
                            0
                            Для MS-DOS, полагаю, там тоже ничего нет ;)
                              0
                              безопасной

                              Кхм, в первый раз прочитал как «бесполезной». Серьёзно, не шучу.
                              • UFO just landed and posted this here
                                –2
                                Ну отлично, значит бюджет в конгрессе на закладку новых дыр будет увеличен, профит.
                                  –6
                                  Скажите мне, как пользователю Линукс, я такой же pwnd как и юзеры Виндовс?
                                    +3
                                    Если вас ищет ЦРУ, то вы в любом случае pwnd.
                                      –2
                                      А вы сомневаетесь? Софт для всех операционок пишут живые люди, чем больше опенсурса тем больше багов.
                                        0

                                        Тут не про баги разговор, чем больше людей в проектах, тем меньше шансов протащить подозрительный код

                                        • UFO just landed and posted this here
                                          +1
                                          чем больше опенсурса тем больше багов

                                          чем больше хлопьев, тем больше асбеста!

                                        0
                                        В списке много portable программ, но разве они все существуют официально? Например хром, на сайте только один вариант установки, никаких portable нет, только неофициальные левые сборки.
                                          0
                                          Вариант портативные — зачастую выпускают не авторы софта, а сторонние.
                                          Использую: Chrome, FireFox, Skype, и еще много софта.
                                          Источник: PortableApps.com
                                            +2
                                            Так в этих сборках вообще может быть что угодно, тут даже не указан сборщик этих portable сборок. А выглядит так, как будто взломали именно VLC, Opera, Chrome, Firefox и прочие.
                                          –11
                                          Ну серьезно, кругом взрослые люди, а все поголовно верят в то, что крупные компании так рьяно закрывают лазейки для спецслужб… Достала уже эта паранойя относительно слежки. Да, следят. Всегда следили, и всегда будут следить. И от того, что кто-то это доказал — ничего не изменится.

                                          А теперь давайте без истерик включим голову, и подумаем, сколько предотвращено преступлений и сколько спасено жизней благодаря такому контролю.
                                            +11
                                            И сколько?
                                              +2
                                              А столько, сколько террористов и педофилов поймали согласно законам о защите от террористов и педофилов
                                              +2
                                              В том то и дело что 0.
                                                +8
                                                А почему бы тогда не запретить занавески на окнах и замки в дверях. Да и дома строить сразу с прозрачными стенами можно!
                                                  –1
                                                  Кое-где так и сделано. Не запретами, правда, а «так принято». В Финляндии, например. Занавесок нет, в лучшем случае жалюзи
                                                    0
                                                    Жалюзи это как бы эстетические занавески(я к примеру ненавижу матерчатые занавески) т выполняют также защиту чтоб не лазили в твоем «грязном белье»
                                                      0

                                                      В Оулу, Посио и Йоэнсуу, почти везде на окнах в квартирах есть занавески. На фермах и пригороде не всегда, но там и расстояния между домов позволяют.


                                                      С другой стороны там и культура несколько иная — ходить всей семьей или с коллегами в сауну голышем.

                                                    0
                                                    теперь, когда опубликована инфа, у компаний не остаётся выбора. Можно ещё подумать, сколько частных лиц и организаций выставили, благодаря заложенным дырам. Цифру я тоже называть не будут, но подумаем ;)
                                                    • UFO just landed and posted this here
                                                      • UFO just landed and posted this here
                                                          0
                                                          Сколько предотвращено — неизвестно.
                                                          А пострадавших от CIH, ConFlicker и пр. — миллионы.
                                                            +2
                                                            Вроде все взрослые люди, но вот есть некоторые, которые верят, что тотальная слежка работать будет на благо общества.
                                                              0
                                                              а все поголовно верят в то, что крупные компании так рьяно закрывают лазейки для спецслужб

                                                              Лазейки не для спецслужб, а для всех, кто их найдет. И если компании, возможно, еще готовы мириться с тем, что их недочеты используют спецслужбы (в чем я сомневаюсь), то при использовании этих же лазеек третьей стороной они понесут огромные репутационные потери. А учитывая, что все это утекло в сеть, им просто необходимо это делать.
                                                              +2
                                                              Проблема DLL Hijacking'а довольно серьезная и мало кто из вендоров обращает на нее внимание.
                                                              Берем любой exe из антивирусного или другого защитного ПО, кладем рядом с ним свою DLL, и запускаем. (Кладем в любом другом каталоге отличном от установочного). После этого убить данный процесс можно будет только отключив самозащиту продукта.
                                                              Плюс из нашей DLL можно подергать драйвер защитного ПО т.к. родительский ехе подписан и находится в доверенных.
                                                                0
                                                                кладем рядом с ним свою DLL

                                                                Как справедливо заметили в статье, если вы можете положить свою DLL, то жертве уже ничего не поможет.
                                                                  0
                                                                  В Portable-версиях угоняемого ПО, именно что можно легко положить любой DLL в каталог с программой (то есть без каких-либо админ. прав).
                                                                    0

                                                                    Так а как это сделать? Нужно распространять, получается. А что в таком случае мешает коварный экзешник положить?)

                                                                      0
                                                                      Ничто не мешает, но экзешники все разные, а DLL используют одинаковый, какая-либо стандартная библиотека, например.
                                                                      А как сделать? Так же как и устанавливается любое портативное ПО — обычное копирование в общедоступный каталог.
                                                              • UFO just landed and posted this here
                                                                  +2
                                                                  Интересно было бы услышать комментарий John T. Haller (автор проекта PortableApps) об этом всём.
                                                                  Также интересно, не портабельные версии ПО были взяты с официальных источников от авторов или легальных софт-каталогов как Softpedia, или с торрентов и файлопомоек?
                                                                    0
                                                                    Где написано, что это их сборки? Эти portable лепят все, кому не лень. Согласитесь, что глупо обвинять того же Касперского, если вы скачали «антивирус» не с официального сайта
                                                                      0
                                                                      А ведь на сайте этого проекта есть портабельная версия keepass, со всеми вытекающими, если она тоже подвержена вмешательству.
                                                                        0
                                                                        Вы странно смотрите на portable версии программ. В случае keepass на оф. сайте есть архив с программой которая прекрасно работает без установки. Для этого не нужны никакие дополнительные сайты.
                                                                          0
                                                                          Я то в курсе. Но есть же люди, которые скачали keepass именно с проекта PortableApps.
                                                                      +1
                                                                      Mikrotik тоже залатали.
                                                                        0
                                                                        Странная уязвимость. Разве ЦРУ не может так же и Notepadpp.exe подменить, если есть доступ к ПК?
                                                                          0

                                                                          Антивирусы или сама система будет ругаться на такое + слишком очевидный способ, куча вирусов используют такой способ, соответственно он мало еффективен

                                                                          +5
                                                                          Google выразила уверенность, что последние обновления безопасности Android должны защитить пользователей от большинства упомянутых в документах уязвимостей


                                                                          даже засмеялся на этом месте, какой процент устройств на андройд получат обновления? (
                                                                          • UFO just landed and posted this here
                                                                            0
                                                                            Поцчему постоянно речь идет только про программные закладки? Про хардварные почему-то все молчат а с ними бороться вообще не возможно. Какие-то жалкие потуги есть но в «российских» процессорах полный адъ и израиль. Камни перекупленные у амд производящиеся в китае чет как-то не вызывают доверия.

                                                                            Второй вопрос про ш2з. Кому надо тот зашифруется по самое не балуйся. Сейчас это может сделать любой школьник. Сильно сомнительно что можно расшифровать 256+1024+1024+256 бит имея даже колоссальные вычислительные ресурсы. И это ж не единственная даркнетовская сеть.
                                                                              0

                                                                              да и не нужно ничего расшифровывать, достаточно перехватить данные до шифровки используя всякие уязвимости в ОС и софте

                                                                            Only users with full accounts can post comments. Log in, please.