Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja szkodliwego oprogramowania: styczeń - marzec 2007


Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Specjaliści od bezpieczeństwa IT przewidywali, że rok 2007 będzie przełomowy w walce z wirusami komputerowymi, co będzie miało wpływ na korzystanie z komputerów i użytkowników komputerowych.

W 2007 roku twórcy wirusów nadal będą aktywni w tworzeniu i wykorzystywaniu trojanów przeznaczonych do kradzieży danych użytkownika. Głównym celem będą użytkownicy systemów bankowych oraz płatności elektronicznych, jak również gier online. Twórcy wirusów i spamerzy będą coraz ściślej ze sobą współpracować, a zainfekowane komputery będą wykorzystywane nie tylko do przeprowadzania nowych epidemii wirusów i ataków, ale również jako platformy do wysyłania spamu.

Jeśli chodzi o wektory infekcji, analitycy Kaspersky Lab uważają, że luki w zabezpieczeniach programów pocztowych oraz przeglądarek internetowych wciąż będą powszechnie wykorzystywane. Chociaż szkodliwe programy nadal będą wykorzystywały sieci P2P oraz kanały IRC w celu rozprzestrzeniania się, prawdopodobnie zjawisko to nie będzie występować na dużą skalę. Zasadniczo, taktyka ta będzie stosowana lokalnie - na przykład, Winy, popularny w Japonii klient P2P może zacząć sprawiać poważne problemy azjatyckim użytkownikom. Komunikatory internetowe nadal będą należały do trzech najpowszechniejszych metod przeprowadzania ataków: nie przewidujemy jednak znacznego wzrostu popularności tego wektora infekcji.

Epidemie i ataki wirusów będą coraz bardziej ograniczały się do określonych obszarów geograficznych. Na przykład, trojany kradnące dane dotyczące gier online oraz robaki z funkcjonalnością wirusa będą prawdopodobnie przeważały w Azji, podczas gdy trojany szpiegujące oraz backdoory będą najliczniej występowały w Europie i Stanach Zjednoczonych.

Nie ma wątpliwości, że Vista oraz luki związane z tym nowym systemem operacyjnym będą głównym problemem w branży bezpieczeństwa w 2007 roku.

Możliwe jest, że nastąpi znaczny wzrost liczby szkodliwych programów dla innych systemów operacyjnych, w szczególności MacOS oraz innych systemów *nix. Atakowane będą prawdopodobnie również konsole do gier, takie jak PlayStation oraz Nintendo, ponieważ ze względu na wzrastającą liczbę tych urządzeń oraz możliwość połączenia ich ze sobą, jak również z Internetem, będą stanowiły potencjalny, atrakcyjny cel twórców wirusów. Prawdą jest, że na ten moment szkodliwy kod dla tych urządzeń ogranicza się do kategorii "proof of concept". Jednak w roku 2007 może nastąpić nagła ewolucja wirusów dla urządzeń innych niż komputery, chociaż prawdopodobieństwo jest niewielkie.

Szkodliwe programy będą coraz bardziej zaawansowane technologicznie i będą wykorzystywały nowe metody w celu maskowania swojej obecności w systemie. Polimorfizm, śmieci w kodzie oraz technologie rootkit będą wykorzystywane na jeszcze większą skalę i staną się swego rodzaju standardem dla większości nowych szkodliwych programów.

Nastąpi również wzrost liczby ukierunkowanych ataków na średnie i duże przedsiębiorstwa. Oprócz tradycyjnej kradzieży informacji, celem takich ataków będzie wyłudzanie pieniędzy od atakowanych organizacji, w tym żądanie zapłaty za odszyfrowanie danych. Jednym z głównych wektorów infekcji będą pliki MS Office wykorzystujące luki w tym pakiecie.

Internetowe pole walki

Koniec roku 2006 był trudny dla firm antywirusowych na całym świecie. W ostatnim kwartale analitycy wirusów znajdowali się w stanie podwyższonej gotowości, mobilizując wszystkie swoje zasoby.

Spowodowane to było długotrwałymi i szeroko rozprzestrzenionymi atakami w Internecie przeprowadzanymi przez nieznanych autorów rodziny robaków pocztowych Warezov. Pierwsi przedstawiciele tej rodziny pojawili się w Internecie w październiku 2006 r., a ich największa aktywność przypadła na koniec miesiąca, gdy w ciągu 24 godzin pojawiało się do 20 nowych wariantów.

Pod wieloma względami Warezov jest bardzo podobny do Bagla. Chociaż szkodnik ten opiera się na kodzie źródłowym robaka Mydoom.a, a Bagle był całkowicie oryginalnym programem stworzonym przez nieznaną grupę autorów wirusów, uważamy, że robaki te są ze sobą powiązane. Po pierwsze, sposób przeprowadzenia epidemii był bardzo podobny: w ciągu krótkiego czasu rozesłano masowo dużą liczbę wariantów, które różniły się od siebie w zależności od regionu geograficznego (np. warianty rozesłane w Rosji różniły się od tych rozesłanych w Europie). Po drugie, szkodniki te mają identyczną funkcjonalność - instalowanie modułów innych robaków z zainfekowanych trojanami stron oraz zbieranie adresów e-mail, które są następnie wysyłane zdalnemu szkodliwemu użytkownikowi. Bagle był pierwszym robakiem, który użył tej technologii wirusowej w celu dostarczenia nowych wpisów do baz adresowych spamerów - dokładnie to samo zrobił później Warezov.

W tym samym tygodniu, w którym pojawił się Warezov, przestały pojawiać się nowe warianty Bagla. Trudno uwierzyć w to, że autorzy Bagla postanowili nagle wycofać się z interesu, a ktoś inny przejął wszystko. Jest całkiem prawdopodobne, że oba robaki zostały stworzone przez tą samą grupę.

Do końca 2006 roku wykryliśmy ponad 400 wariantów Warezova. Autorzy tego robaka przeprowadzili dużą liczbę krótkotrwałych masowych wysyłek, w których rozprzestrzeniali najnowsze warianty, co umożliwiło stworzenie gigantycznego botnetu. Jeśli weźmiemy pod uwagę to, że Warezov zbiera również adresy e-mail, nie było wątpliwości, że nadchodziła fala spamu i ataków phishing. Warezov został stworzony i rozprzestrzeniony w jednym celu - użycia w przyszłości zainfekowanych maszyn jako serwerów proxy.

Praktycznie rzecz biorąc, autorzy robaka i ich klienci przejęli sporą część czarnego rynku masowych wysyłek. To musiało wywołać reakcję konkurencji.

18 stycznia 2007 przez Europę przetoczył się huragan Kyrill, pochłaniając ponad 30 ofiar. W wyniku zamieci dziesiątki tysięcy Europejczyków pozostało bez prądu i możliwości transportu. Uwagę całego świata przykuły wydarzenia, o których media informowały 24 godziny na dobę.

20 stycznia byliśmy świadkami kolejnego kataklizmu, tym razem jednak jego ofiarą padła poczta elektroniczna. Przeprowadzono gigantyczną masową wysyłkę wiadomości e-mail. Naturalnie, tematy wiadomości - których przykłady znajdują się poniżej - miały skłonić użytkownika do uruchomienia pliku zawartego w wiadomości:

  • 230 dead as storm batters Europe.
  • Russian missle shot down Chinese satellite
  • Chinese missile shot down USA aircraft
  • Sadam Hussein alive!
  • Venezuelan leader: "Let's the War beginning".
  • Fidel Castro dead.
  • President of Russia Putin dead
  • Third World War just have started!

Załączone pliki zawierały program trojański, zaklasyfikowany jako Trojan-Download.Win32.Small.dam oraz Trojan-Downloader.Win32.Small.bet. Trojan ten pobierał na zaatakowaną maszynę inne komponenty. W rezultacie powstawał nowy, niezwykle agresywny robak sieciowy, który wykorzystywał technologię rootkit. Nieoficjalnie robak ten został nazwany "Storm worm". Jego oficjalna nazwa, pod którą występuje w naszych antywirusowych bazach danych, to Email-Worm.Win32.Zhelatin.a.

W cyberprzestrzeni wywiązała się wojna pomiędzy grupami tworzącymi robaki Warezov oraz Zhelatin. Biorąc pod uwagę rozmiar bonetów wykorzystywanych przez obie grupy oraz ich wyraźny zamiar przeprowadzenia dużej liczby ataków, nie było wątpliwości, że mogło to spowodować jeden z najpoważniejszych problemów w Internecie w ostatnich latach.

Najgłośniejszy dotychczas cyberkonflikt rozgrywał się wiosną 2004 r. pomiędzy robakami Mydoom, Bagle oraz NetSky. Sieć została zalana przez dziesiątki wariantów tych szkodników, które skanowały zaatakowane komputery w poszukiwaniu swoich rywali i zajmowały ich miejsce, usuwając poprzedniego szkodnika. Koniec wojny spowodowało aresztowanie w Niemczech 18-letniego Svena Jaschana, autora robaka NetSky. Stworzone przez niego szkodniki należą do najbardziej rozprzestrzenionych robaków w ruchu pocztowym. Z wszystkich autorów robaków uczestniczących w rywalizacji jedynie autorzy Bagla pozostali aktywni, chociaż na pewien czas usunęli się w cień i nie zareagowali na pojawienie się Warezova, stąd nasze przypuszczenia o ich udziale w tworzeniu tego robaka. Jednak w styczniu Bagle powrócił nagle, a jeden z jego wariantów stał się najbardziej rozpowszechnionym szkodliwym programem w ruchu pocztowym.

Sytuacja stawała się coraz bardziej interesująca. Trzy grupy z różnych krajów pracowały nad tą samą rzeczą - stworzeniem botnetów wykorzystywanych do wysyłania spamu i przechwytywania adresów e-mail. Wszystkie z tych grup uzależnione są od pieniędzy spamerów, którzy są skłonni wyłożyć sporą sumę za największy bonet oraz największą bazę danych. Wywołało to konflikt pomiędzy grupami, które są gotowe użyć każdego dostępnego środka, aby uzyskać przewagę. Rezultatem była niekończąca się seria ataków na użytkowników. W celu zainfekowania komputerów twórcy wirusów musieli wymyślać coraz to nowsze metody pozwalające na obejście filtrów antywirusowych.

Autorzy Warezova zaczęli odpowiadać na ataki Zhelatina w marcu, od tego miesiąca Bagle zaczął podejmować działania ofensywne kilka razy w miesiącu. Pod koniec zeszłego roku firmy antywirusowe musiały zwalczać ataki tylko jednej grupy, teraz jednak mają trzykrotnie więcej pracy. Jednocześnie nastąpił wzrost ilości spamu i ataków phishing.

W marcu 2007 r. prawie 32% szkodliwego kodu stanowił Trojan-Spy.HTML.Bankfraud.ra. Było to niewątpliwie spowodowane epidemiami wywołanymi przez robaki Bagle, Zhelatin oraz Warezov. Szkodnik ten jest typową wiadomością phishingową, która została rozesłana na całym świecie w milionach kopii. Trojan-Spy.HTML.Bankfraud.ra, początkowo wykryty 27 lutego 2007 r., został rozesłany powtórnie. Trojan ten atakuje klientów Branch Banking oraz Trust Company, zwabiając ich na sfałszowane strony, zarejestrowane przez szkodliwych użytkowników w Chorwacji i na Wyspach Kokosowych.

Możemy się tylko domyślać, która grupa jest odpowiedzialna za urzeczywistnianie tego ataku phishing. Osobiście, stawiałbym na Zhelatina.

Wielka draka w chińskiej dzielnicy

Na początku 2005 r. analitycy Kaspersky Lab wykryli pierwsze warianty robaka sieciowego Viking. Początkowo był to niezbyt skomplikowany program, który niczym nie wyróżniał się spośród całej rzeszy innych podobnych szkodników. Robak ten kopiował się do dostępnych zasobów sieciowych, infekował pliki, próbował pobierać pliki z Internetu oraz przechwytywać nazwy użytkownika i hasła do niektórych gier online.

W 2005 r. autor Vikinga nie był szczególnie aktywny, wypuszczając średnio tylko jeden nowy wariant tego robaka co dwa miesiące. Jednak w kwietniu, wraz z opublikowaniem Viking.h stał się bardziej płodny i do września 2006 r. liczba znanych wariantów tego robaka przekroczyła 30. W tym czasie w Chinach wybuchła epidemia na skalę porównywalna do tej spowodowanej przez robaka Warezov.

Każdego tygodnia wykrywano dziesiątki nowych modyfikacji Vikinga, który był rozprzestrzeniany za pośrednictwem dziesiątek tysięcy chińskich stron internetowych. Szybko stało się oczywiste, że mamy do czynienia z epidemią krajową.

To właśnie Viking zapewnił Chinom pierwsze miejsce pod względem liczby szkodliwych programów. Również z powodu tego szkodnika nastąpił znaczny wzrost liczby robaków sieciowych. Są to programy, które rozprzestrzeniają się za pośrednictwem lokalnych sieci oraz infekują pliki. Jednak ich liczba jest zwykle niewielka (szczegóły zawiera roczny raport).

Kolejną chińską zagadkę napotkaliśmy zimą 2007 r. Wiele nowych wariantów Vikinga tak bardzo różniło się od pierwotnego wariantu, że zaczęliśmy klasyfikować je do nowej rodziny: Fujack. Decyzja ta zbiegła się w czasie z kolejną epidemią. W styczniu i lutym Fujack stanowił główny problem chińskich użytkowników, a informację o "wirusie pandzie" (nazwa pochodzi od tego, że ikonki zainfekowanych plików zamieniane były na ikonkę pokazującą pandę) można było znaleźć na wszystkich głównych azjatyckich stronach informacyjnych.

Nasuwa się pytanie: w jaki sposób robak, który nie wykorzystywał do swojego rozprzestrzeniania ani sieci, ani poczty elektronicznej zdołał rozprzestrzenić się w tak dużej liczbie i dlaczego miało to miejsce właśnie w Chinach?

Główną rolę odgrywały tu następujące czynniki:

  • W porównaniu z innymi krajami, w chińskim segmencie Internetu zjawisko współdzielenia plików występuje na stosunkowo szeroką skalę.

W Chinach znajdują się tysiące serwerów, które pełnią rolę ogromnego magazynu plików. W sytuacji, gdy piractwo stanowi jedyny sposób, w jaki użytkownicy mogą zdobyć program, który chcą mieć, takie serwery stają się niezwykle popularne. Jest całkiem prawdopodobne, że na takich serwerach można znaleźć każdy program, jaki kiedykolwiek został napisany. Jeśli użytkownicy wymieniają się plikami, wystarczy jeden zainfekowany plik na takim serwerze, aby ofiarą infekcji pady tysiące ofiar. Strony, które rozprzestrzeniały robaki Viking oraz Fujack, były - co nie powinno dziwić - stronami umożliwiającymi współdzielenie pików.

  • Wirus został rozprzestrzeniony przez więcej niż jedną osobę. Twórcy wirusa sprzedawali ekskluzywne warianty Fujacka przeznaczone do kradzieży danych użytkownika dotyczących gier online. Przyczyniło się to do powstania ogromnej liczby wariantów i kilku źródeł, z których rozprzestrzeniany był robak.
  • Ogromny rozmiar sieci lokalnych, przede wszystkim na chińskich uniwersytetach. Jak tylko wirus przedostanie się do takiej sieci, będzie mógł bardzo szybko zainfekować tysiące komputerów z otwartymi zasobami sieciowymi.

Sądzę, że był to przykład szczególnego typu epidemii, która nie mogła zdarzyć się nigdzie indziej poza Chin. Pomimo liczby infekcji wirus nie był w stanie przekroczyć granic narodowych i nie odnotowano znacznej liczby infekcji w Europie czy Stanach Zjednoczonych.

Koniec był taki, na jaki mieliśmy nadzieję, ale nie spodziewaliśmy się. 12 lutego chińska agencja informacyjna Xinhua podała, że policja aresztowała kilka osób podejrzanych o udział w tworzeniu robaka Fujack. W sumie aresztowano 8 podejrzanych, łącznie z 25-letnim Li Junem, który występował pod pseudonimem WhBoy. Li Jun przyznał się, że na stworzeniu i sprzedaży robaka innym hakerom zarobił około 12 500 dolarów oraz że zabrał się za pisanie wirusów, ponieważ nie mógł znaleźć pracy w sektorze IT.

Według niektórych źródeł, był to pierwszy przypadek aresztowania autora wirusa w Chinach. Co do tego nie jestem przekonany, prawdą jest jednak, że było to pierwszy głośny przypadek aresztowania twórcy wirusów w Chinach.

Przeszukałem naszą kolekcję wirusów, chcąc znaleźć szkodliwy program, który zawiera w swoim kodzie słowo WhBoy - podpis Li Juna. Rezultatem jest poniższa lista:

  • kilkadziesiąt wariantów trojana Trojan-PSW.Win32.Lmir, który kradnie konta do gry online Legend of Mir;
  • kilkadziesiąt wariantów trojana Trojan-Downloader.Win32.Leodon;
  • wszystkie robaki z rodziny Email-Worm.Win32.Lewor;
  • wiele wariantów backdoora Backdoor.Win32.WinterLove;
  • kilkadziesiąt wariantów trojana Trojan-PSW.Win32.Nilage, który kradnie konta użytkowników do gry online Lineage;
  • kilkadziesiąt wariantów trojana Trojan-PSW.Win32.QQRob, który kradnie konta QQ (chiński komunikator internetowy);
  • robaki Viking oraz Fujack.

Jeśli WhBoy jest rzeczywiście autorem wszystkich tych szkodliwych programów, byłby jednym z najbardziej aktywnych twórców wirusów minionej dekady.

Sprawa ta ma dość interesujący aspekt. Chińska policja zażądała, aby Li napisał program antywirusowy, który "wyczyściłby" komputery zainfekowane Fujakiem. Spróbował, ale to, co stworzył, nie było w stanie przywrócić zainfekowanych systemów. Autor wirusa nie potrafił kontrolować swojego własnego tworu - czy można wyobrazić sobie większą ironię losu?

Blaski i cienie Visty

Nie ma wątpliwości, że wprowadzenie pod koniec roku na rynek nowego sytemu operacyjnego Microsoftu, Visty, było jednym z najważniejszych wydarzeń, nie tylko w branży antywirusowej, ale w całym świecie komputerowym. Microsoft ogłosił, że najnowsza wersja jego systemu operacyjnego będzie najbezpieczniejsza w historii istnienia systemu Windows i że wiele problemów bezpieczeństwa, które w przeszłości powodowały epidemie wirusów, zostało rozwiązanych.

Na długo przed opublikowaniem wersji beta spekulowano na temat tego, jak bezpieczny okaże się w rzeczywistości nowy system operacyjny. Jakie dokładnie będą funkcje bezpieczeństwa i jaka będzie ich skuteczność? Czy to prawda, że Vista sprawi, że rozwiązania antywirusowe będą zbędne?

Lista kluczowych funkcji była imponująca: User Account Control, Patch Guard (w celu ochrony jądra) oraz funkcje bezpieczeństwa w przeglądarce Internet Explorer 7, Address Space Layer Randomization, Network Access Protection oraz Windows Service Hardening. Oprócz tego, Vista jest wyposażona w zintegrowany firewall i oprogramowanie antywirusowe, Windows Defender.

Specjaliści od bezpieczeństwa informatycznego zgadzali się co do tego, że innowacje te nie będą miały znacznego wpływu na wirusy komputerowe. Testy przeprowadzone przez wiele firm antywirusowych wykazały, że około 90% szkodliwych programów stworzonych dla systemu Windows XP działałoby na Viście. Pojawiła się również kwestia luk w zabezpieczeniach nowego systemu operacyjnego.

Mimo zapewnień Microsoftu, że będzie rozwijał nowy system operacyjny niemal "od zera" i podejmie bezprecedensowe środki w celu zapewnienia bezpieczeństwa od początku procesu rozwoju sytemu, jak również że został zaimplementowany unikatowy system testowania, wszyscy byli przekonani, że wystąpią problemy. Nie chodziło o to "Czy w Viście zostaną zidentyfikowane krytyczne luki?" ale "Kiedy zostaną zidentyfikowane?"

Vista była dostępna w sprzedaży od 30 stycznia 2007, wtedy też rozpoczął się wyścig, kto pierwszy znajdzie luki w zabezpieczeniach. Hakerzy z całego świata skupili się na Viście, próbując znaleźć exploit "zero-day", który mógłby zostać wykorzystany w celu tworzenia szkodliwych programów.

W ciągu dwóch tygodni, 13 lutego Microsoft opublikował najnowszy pakiet łat. Zawierał on poprawki na sześć krytycznych luk i sześć ważnych luk, z których jedna została zidentyfikowana w aplikacji Microsoft Excel. Wielokrotnie pisaliśmy o licznych lukach w pakiecie Microsoft Office wykrytych w 2006 r. Mimo wszystkich opublikowanych łat wciąż identyfikowane były luki w zabezpieczeniach, które natychmiast wykorzystywali szkodliwi użytkownicy.

Jednak lutowy zestaw łat nie dotyczył żadnej luki w zabezpieczeniach Visty. Było to zaskoczeniem i mogło zostać odebrane jako potwierdzenie, że ten nowy system operacyjny jest bezpieczny. Było jednak jedno "ale". Luki, które zostały załatane w lutym, wykryto przed opublikowaniem Visty. Nawet gdyby luka w Viście została już zidentyfikowana, nie załatano by jej w lutym. Z tego powodu, aby zyskać pełen obraz sytuacji musieliśmy czekać do marca.

11 marca spotkała na niespodzianka. Microsoft ogłosił, że nie opublikuje w tym miesiącu żadnych łat. Był to pierwszy raz od kilku lat, gdy Microsoft nie opublikował żadnych łat - można było pomyśleć, że w końcu naprawiono wszystkie problemy we wszystkich wersjach Windowsa. Jednak z wyjaśnienia, jakie podano, wynikało, że sytuacja wcale nie wygląda tak różowo. Microsoft zajęty był testowaniem łat, które zostały opublikowane w poprzednim miesiącu. Gigant oprogramowania komputerowego wyjaśnił, że tworzenie łat, które całkowicie rozwiążą problemy bezpieczeństwa, to długi proces, składający się z kilku etapów. Wypowiedź ta była jednoznaczna: zidentyfikowano luki i Microsoft potrzebuje czasu na ich załatanie. W tym samym czasie eEye Digital Security poinformował o wykryciu 5 niezałatanych luk w Windowsie.

Sytuacja była niepokojąca. Trzy tygodnie później rozpętała się burza.

29 marca 2007 r. firmy antywirusowe zauważyły dziwny program w zalewie standardowych wirusów. Na wielu chińskich stronach znaleziono pliki w formacie ANI (pliki kursora animowanego). Podczas przeglądania tych stron na maszynę użytkownika instalowało się wiele różnych programów trojańskich, głównie programów Trojan-Downloader.

Ponadto, rozprzestrzeniane były również wiadomości e-mail zawierające podejrzane pliki ANI. Analiza wykazała, że miały one związek z obecną w systemie Windows Vista nową luką w przetwarzaniu plików graficznych.

Z luką tą zmagano się przez blisko dwa miesiące. Wynik był najgorszy z możliwych - chińscy hakerzy wykorzystali lukę w celu rozprzestrzeniania wirusów, a żadna łata nie została udostępniona.

Jeszcze bardziej niepokojące jest to, że już dwa lata temu miały miejsce incydenty związane z przetwarzaniem plików ANI. W styczniu 2005 r. wykryto setki stron zawierających Exploit.Win32.IMG-ANI (zgodnie z klasyfikacją Kaspersky Lab). Biuletyn MS05-002 zawierał łatę na tę dziurę; z czasem jednak stało się jasne, że łata nie została wystarczająco przetestowana. Poza tym, pliki kursora podważyły wszystkie zapewnienia o tym, że Vista została napisana od zera, a cały kod wielokrotnie przetestowany i takie błędy były niemożliwe.

Microsoft opublikował informacje o nowej luce, która została oznaczona jako CVE-2007-1765 CVE-2007-1765) i podał listę zagrożonych aplikacji i systemów. Jednocześnie firmy antywirusowe wykrywały kolejne zainfekowane strony oraz programy trojańskie.

W ciągu niecałego tygodnia Websense wykrył ponad 500 zainfekowanych stron, poprzez które mogli zostać zaatakowani niczego niepodejrzewający użytkownicy. W wyniku większości incydentów maszyna ofiary została zainfekowana kilkoma wariantami trojana szpiegującego stworzonego w celu kradzieży danych użytkownika dotyczących kont gier online (World of Warcraft, Lineage).

Wydawało się, że problem ten może przerodzić się w globalną epidemię. eEye Digital Security opublikował nieoficjalną łatę na tę lukę. Przypominało to inne sytuacje, gdy Microsoft zdecydował się nie publikować łaty poza cyklem: jak w przypadku grudnia 2005 r. oraz luki w przetwarzaniu plików WMF. Od wykrycia problemu do udostępnienia rozwiązania minęły prawie trzy tygodnie. Z drugiej strony, we wrześniu 2006 r. Microsoft potrzebował tylko 10 dni na opublikowanie biuletynu MS06-055, który usuwał niebezpieczną lukę.

Tym razem Microsoft zadziałał szybko i 3 kwietnia opublikował biuletyn MS07-017 zgodnie z cyklem i poza nim. Lukę tą określono jako "Luki w zabezpieczeniach interfejsu GDI umożliwiające zdalne wykonanie kodu", a liczba zagrożonych wersji systemów operacyjnych z pewnością robiła wrażenie:

  • Microsoft Windows 2000 Service Pack 4;
  • Microsoft Windows XP Service Pack 2;
  • Microsoft Windows XP Professional x64 Edition oraz Microsoft Windows XP Professional x64 Edition Service Pack 2;
  • Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 oraz Microsoft Windows Server 2003 Service Pack 2;
  • Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems oraz Microsoft Windows Server 2003 with SP2 for Itanium-based Systems;
  • Microsoft Windows Server 2003 x64 Edition oraz Microsoft Windows Server 2003 x64 Edition Service Pack 2;
  • Windows Vista;
  • Windows Vista x64 Edition.

Lista usuwanych przez tę łatę luk w zabezpieczeniach również była imponująca:

  • GDI Local Elevation of Privilege Vulnerability (CVE-2006-5758);
  • WMF Denial of Service Vulnerability (CVE-2007-1211);
  • EMF Elevation of Privilege Vulnerability (CVE-2007-1212);
  • GDI Invalid Window Size Elevation of Privilege Vulnerability (CVE-2006-5586);
  • Windows Animated Cursor Remote Code Execution Vulnerability (CVE-2007-0038);
  • GDI Incorrect Parameter Local Elevation of Privilege Vulnerability (CVE-2007-1215);
  • Font Rasterizer Vulnerability (CVE-2007-1213).

Trzy z tych luk były obecne w systemie Vista: EMF Elevation of Privilege Vulnerability, Windows Animated Cursor Remote Code Execution Vulnerability, GDI Incorrect Parameter Local Elevation of Privilege Vulnerability. Dwie z nich zidentyfikowano jeszcze w 2006 r., ale zostały ujawnione dopiero w momencie opublikowania łaty!

W Microsoft Security Response Center Blog Microsoft starał się wyjaśnić, w jaki sposób firma zdołała rozwinąć i opublikować łatę, która obejmowała tak dużą liczbę luk:

"Jestem pewien, że wszyscy zastanawiają się, w jaki sposób udało nam się opublikować aktualizację usuwającą ten problem w tak krótkim czasie. W piątek wspomniałem, że o problemie tym po raz pierwszy zostaliśmy poinformowani pod koniec grudnia 2006 r. i od tego czasu pracowaliśmy nad aktualizacją zabezpieczeń. Początkowo miała być opublikowana w ramach kwietniowej aktualizacji zabezpieczeń, przypadającej na 10 kwietnia 2007r. Ze względu na duże zagrożenie dla naszych klientów spowodowane najnowszymi atakami udało nam się przyspieszyć nasze testy, aby udostępnić aktualizację jeszcze przed 10 kwietnia".

Tak więc Microsoft wiedział o problemie już od grudnia zeszłego roku i przeprowadzał w tym czasie testy; postanowił nie publikować łaty w marcu w ramach cyklu aktualizacji, ale zaczekać do kwietnia; ostatecznie jednak łata została opublikowana przed wyznaczoną datą. Luka ta znana była firmie Microsoft oraz podziemiu komputerowemu od ponad trzech miesięcy? Jak wiele ataków hakerskich miało miejsce w tym czasie? - możemy się tylko domyślać.

To pokazuje, że jeśli chodzi o luki w zabezpieczeniach, Windows Vista nie różni się od innych wersji systemu Windows. Ponadto, innowacje firmy Microsoft, zarówno pod względem bezpieczeństwa, jaki i braku błędów w kodzie, nie były takie, jak zapowiadano. Po trzecie wreszcie, luki "zero-day", które są wykorzystywane przez twórców wirusów, zanim zostanie opublikowana oficjalna łata, nadal stanowią poważny problem.

Wniosek

Wydarzenia, jakie miały miejsce w pierwszych trzech miesiącach 2007 r., potwierdziły nasze najgorsze obawy. Twórcy wirusów nadal przeprowadzają liczne, krótkotrwałe epidemie poprzez wypuszczanie w ciągu krótkiego czasu wielu wariantów jednego szkodliwego programu w Internecie. Oczywiście znacznie utrudnia to pracę firm antywirusowych. Celem hakerów stała się Vista. Próbują oni znaleźć nie tylko luki, ale również sposoby na uniknięcie niektórych funkcji bezpieczeństwa, takich jak UAC, Patch Guard czy ochrona przed przepełnieniem bufora.

Drugi kwartał tego roku bez wątpienia potwierdzi dotychczasowe trendy. Dowiemy się również, jak bezpieczne są w rzeczywistości obecne systemy operacyjne oraz jakie nowe metody stosują szkodliwi użytkownicy do przeprowadzania swoich ataków.

Źródło:
Kaspersky Lab