Silicon Taiga: Брешь в Windows: крупнейший удар по репутации Microsoft

Никакая другая операционная система не имеет стольких сторонников и стольких противников, как Windows. Распространенность этой ОС заставляет огромную армию хакеров во всем мире неустанно искать новые бреши в защите. Недавно обнаруженная уязвимость, связанная с использование DCOM, может стать самой критической ошибкой, ставящей более половины пользователей Windows, а вместе с ними и саму компанию под удар.

С самого своего появления DCOM как модель обмена данными в распределённых системах вызывала массу нареканий со стороны специалистов по безопасности систем. Во многих случаях специалисты указывали на явные недостатки модели, иллюстрируя свои замечания примерами. Однако Microsoft не хотел отказываться от DCOM в пользу конкурирующих программных архитектур как с точки программной совместимости - слишком много уже было наработано продуктов с использованием DCOM, так и с финансовой точки зрения.

Решение проблем с защитой информации при использовании DCOM и ранее перекладывалось на системных администраторов, которые по-разному решали их. Одни отключали использование DCOM в серверах, имеющих доступ к общественным информационным сетям. Другие устанавливали разнообразные аппаратные и программные системы защиты (межсетевые экраны). Обычные пользователи даже не подозревали о том, что в установленных ими версиях Microsoft Windows 2000 и Windows XP есть доступный и мощный инструмент для управления их компьютерами.

Наиболее печальным фактом явилось резкое падение стоимости труда системных администраторов. Их услуги после появления операционной системы с так называемым «дружественным к пользователю интерфейсом», по мнению работодателей, свелись к простой установке с компакт-диска определённой системы и необходимых для работы офиса компонент. Именно поэтому обязанности системных администраторов перекладывались на людей, далеких от информационной безопасности: прикладных программистов, студентов и т.д. В результате уровень системного администрирования в очень многих организациях снизился до самого нижнего предела. Ореол всемогущества вокруг головы современного хакера объясняется не его высочайшей квалификацией, а низким уровнем знаний системных администраторов.

В середине лета (16 июля) текущего года хакерская группа Last Stage of Delerium опубликовала информацию об обнаруженной уязвимости во всех существующих на сегодняшний день стандартных инсталляциях Windows NT 4.0, Windows 2000, Windows XP, а также в широко разрекламированном новом продукте - Windows 2003. Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM. Хакеры решили не публиковать полное описание обнаруженной уязвимости и самого эксплоита, чтобы избежать появления червей.

Реакция софтверного гиганта была молниеносной. В Microsoft Security Bulletin MS03-026 от 16 июля 2003 г. компания подтвердила наличие уязвимости. Чуть позже (в редакции от 21 июля) были опубликованы ссылки на заплатки, закрывающие указанные бреши. Уязвимости был присвоен статус критической ошибки. Системным администраторам рекомендовалось немедленно установить заплатки.

Несколько дней спустя, 25 июля 2003 года, группа китайских хакеров xfocus публикует в интернете полное техническое описание уязвимости и код эксплоита. Оказалось, что ошибке подвержены системы со всеми установленными пакетами исправлений, включая Service Pack 4 для Windows 2000.

Технические особенности первых версий вредоносного кода вызывали сбои не во всех системах. Большое значение имели версия системы, язык локализации, установленные пакеты исправления и т.д. Однако в настоящее время в интернете можно абсолютно свободно найти исходный код эксплоита, позволяющий получить удаленный доступ к компьютеру через интерфейс командной строки (remote shell). Действиям разрушительного кода подвержены все версии систем на базе Windows 2000/XP, вне зависимости от локализации и установленных пакетов исправлений, если только не установлена заплатка, описанная в Microsoft Security Bulletin MS03-026.

Эксплоит можно скомпилировать под Linux/FreeBSD и WIN32. В интернете также можно найти комплект скриптов, осуществляющий поиск незащищённых систем, которые впоследствии могут быть атакованы.

Специалисты Microsoft по неизвестной причине до сих пор не закрыли брешь в RPC. Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe. Результатом работы разрушительного кода является отказ в создании и отправке электронной почты в MS Outlook Express, масса ошибок при запуске всех офисных программ и т.д.

Пользователи, использующие коммутируемый доступ в интернет, должны быть готовы к тому, что их система на базе Windows 2000/XP может быть в любой момент времени атакована. Взломщик практически мгновенно может получить права администратора системы, похитить конфиденциальную информацию, установить троянские программы, клавиатурные шпионы и т.д.

Уязвимость устраняется либо с помощью установки отдельного программного межсетевого экрана и закрытия доступа к порту 135, либо полным отключением архитектуры DCOM. Последнее действие может привести к большому количеству проблем в функционировании многих программных продуктов.

Для того чтобы приложения различной степени сложности могли совместно работать по каналам связи, необходимо обеспечить между ними надежные и защищенные соединения, а также создать специальную систему, которая направляет программный трафик. С начала 1990-х годов над решением этой задачи трудятся три конкурирующие группы разработчиков. Одну из них - консорциум Object Management Group (OMG) - поддерживают компании IBM, Sun Microsystems и ряд других производителей. В 1991 году OMG предложил архитектуру распределенных вычислений, получившую название Common Object Request Broker Architecture (CORBA). Сегодня она применяется многими крупными организациями для развертывания распределенных вычислений в масштабах предприятия на базе Unix-серверов и мэйнфреймов. Альтернативный вариант - EJB (Enterprise JavaBeans) компании Sun Microsystems. Однако Microsoft как всегда пошел своим путем и создал распределенную компонентную объектную модель Distributed Component Object Model (DCOM), которая изначально встраивается в базовый дистрибутив операционных систем Windows NT v4.0/2000/XP/2003. Существуют - в виде отдельных бесплатных дополнений к системе - версии DCOM для Windows’9x. Преимуществом DCOM является значительная простота использования. Если программисты пишут свои Windows-приложения с помощью ActiveX (предлагаемого Microsoft способа организации программных компонентов), то операционная система будет автоматически устанавливать необходимые соединения и перенаправлять трафик между компонентами, независимо от того, размещаются ли компоненты на той же машине или нет. Способность DCOM связывать компоненты позволила Microsoft наделить Windows рядом важных дополнительных возможностей, в частности, реализовать сервер Microsoft Transaction Server, отвечающий за выполнения транзакций баз данных через интернет. Distributed Component Object Model (DCOM) - программная архитектура, разработанная компанией Microsoft для распределения приложений между несколькими компьютерами в сети. Программный компонент на одной из машин может использовать DCOM для передачи сообщения (его называют удаленным вызовом процедуры) к компоненту на другой машине. DCOM автоматически устанавливает соединение, передает сообщение и возвращает ответ удаленного компонента. (Фрэнк Хэйес)