Второй раз за три месяца разработчики из компании Google раскрыли баг в операционной системе Windows до того, как Microsoft выпустила патч. Теоретически, теперь несколько недель кто угодно может эксплуатировать критическую уязвимость, доступную на всех компьютерах под Windows.
Считается, что публичное разглашение информации — самый эффективный способ поторопить вендора с выпуском патча. Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
В данном случае уязвимость обнаружена в подсистеме Windows GDI (Graphics Device Interface), то есть в библиотеке gdi32.dll.
GDI — одна из трёх основных подсистем Windows, вместе с ядром операционной системы и Windows API. Библиотека gdi32.dll отвечает за отрисовку линий и кривых, отображение шрифтов и обработку палитры. Это интерфейс Windows для представления графических объектов и передачи их на устройства отображения. Раскрытие критической уязвимости GDI аналогично раскрытию уязвимости прямо в ядре операционной системы.
Последнее сообщение о баге было опубликовано 16 ноября 2016 года сотрудниками подразделения Project Zero. Впервые о нём упоминалось ещё раньше — в марте 2016 года, вместе с большим набором других уязвимостей в Windows. Компания Microsoft формально исправила эту уязвимость в июне 2016 года и опубликовала бюллетень безопасности MS16-074. Но на самом деле выпущенный патч оказался неполным.
Как написал специалист по безопасности из Google Матеуш Юрчик (Mateusz Jurczyk), патч MS16-074 не полностью устраняет уязвимость и оставляет пространство для эксплуатации бага. Некоторые из векторов атаки, о которых сообщалось в марте, по-прежнему остались доступны после установки патча. Подробности описаны в ноябрьском баг-репорте.
Баг CVE-2017-0038 позволяет вредоносной программе считать содержимое памяти, используя специальным образом сконструированный файл EMF. Файлы такого формата можно встраивать в различные документы — они автоматически запускаются на исполнение в Internet Explorer, в Office Online или в документе .docx.
В ноябре Матеуш Юрчик провёл ряд тестов — убедился, что уязвимость по-прежнему можно эксплуатировать, а после этого отправил отчёт в компанию Microsoft. В соответствии с принятыми в сообществе информационной безопасности правилами, спустя 90 дней он опубликовал информацию в открытом доступе, хотя новый патч к этому моменту так и не вышел.
За последнее время это не первый случай, когда Google публикует информацию о незакрытой уязвимости в Windows. Напомним, что в ноябре 2016 года специалисты Google Threat Analysis Group разгласили опасную уязвимости в Windows всего через 10 дней после того, как сообщили о ней в Microsoft. Столько короткий интервал тогда объяснялся тем, что обнаруженная уязвимость уже активно эксплуатировалась хакерами. Так что действия Google были вполне уместными, учитывая высокую опасность найденного бага. Тогда 0day-уязвимость в Windows уже использовалась хакерами из группы APT28 (Fancy Bear). По регламенту Google Threat Analysis Group, срок публикации информации об активно эксплуатируемых уязвимостях составляет 7 дней.
Русскоязычная хакерская группа APT28 хорошо известна кибератаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов. По данным ESET, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России атакам подвергались участники группы «Анонимный интернационал» («Шалтай-Болтай»), члены партии «Парнас» и другие оппозиционеры, а также иностранные учёные, посещавшие российские вузы.
Летом 2016 года была взломана внутренняя сеть Демократической партии США. Специалисты из компании CrowdStrike, устранявшей последствия взлома, заявили, что он был организован группами Fancy Bear и Cozy Bear.
Как и сейчас, точно так же компания Google преждевременно раскрыла информацию об уязвимости в Windows в 2015 году, за что её подвергли критике коллеги из Microsoft. В тот раз ситуация была даже интереснее, потому что Microsoft специально просила Google подождать ещё несколько дней с разглашением — дать им время выпустить патч для Windows 8.1. Но Google не отступилась от принципов.
Судя по всему, у Google и Microsoft просто разные взгляды на проблему. Google считает, что информирование пользователей об опасности только повышает общую безопасность и заставит раньше выпустить патч. Microsoft считает, что незачем выносить грязное бельё на публику.
В ноябре прошлого года исполнительный вице-президент Microsoft, руководитель подразделения Windows and Devices Group Терри Майерсон (Terry Myerson) назвал поступок Google «разочаровывающим», потому что он подвергает риску миллионы пользователей Windows.
В этот раз Microsoft должна винить сама себя, ведь Google дождалась 14 февраля — того дня, когда Microsoft выпускает ежемесячный пакет обновлений. Патча для данной уязвимости так и не вышло.
Скорее всего, пользователи Windows останутся беззащитны перед уязвимостью CVE-2017-0038 как минимум до 15 марта 2017 года, когда Microsoft планирует выпустить следующий кумулятивный пакет безопасности.
Автор: alizar