18c0693f

Атаки на пользователей INTERNET

Атаки на пользователей INTERNET

До сих пор много говорилось об общепринятых методах взлома систем, принадлежащих различным компаниям и управляемых опытными администраторами. Ведь считается, что именно там находятся основные ценности, не так ли? Не может же зловредный хакер пытаться найти что-нибудь интересное на домашнем компьютере какой-нибудь старушки.

Но на самом деле, такая ситуация представляет собой лишь небольшую часть общей картины. В наше время неуклонно растет число людей, которые пользуются программными продуктами, являющимися объектом охоты хакеров: Web-броузерами, программами обработки электронной почты и другими всевозможными программами-клиентами Internet. Таким образом, каждый пользователь такого программного обеспечения может стать жертвой, а информация о его системе представляет такую же, если не большую ценность, чем та, которая имеет отношение к персоналу Web-сервера. Проблема усугубляется еще тем обстоятельством, что данные о конечных пользователях распределены гораздо шире, чем сведения о сервере.

С помощью описанных в этой главе инструментов и методов можно воздействовать не только на систему отдельного пользователя, но в значительной мере и на организацию, в которой он работает. Если принять во внимание, что каждый сотрудник фирмы, от главного администратора до простого служащего использует вышеупомянутое программное обеспечение на протяжении 90% своего рабочего времени (для чтения электронной почты и просмотра Web-страниц), то сразу станет очевидна вся серьезность проблемы как для корпоративного, так и для рядового пользователя Internet (кстати, и для той самой бабушки). Следует также учесть и то, какое негативное влияние на репутацию компании и на степень доверия к ней партнеров может оказать тот факт, что ее системы являются постоянным источником вирусов и других опасных программ, а компания не предпринимает соответствующих мер безопасности. Ну как, вы еще не задумались?

Судя по количеству информационных бюллетеней, посвященных обеспечению безопасности клиентского программного обеспечения Internet, которые были выпущены в 2000 году, число бойцов невидимого фронта, взламывающих системы пользователей Internet, растет как снежный ком. В конце концов, подходы, используемые для взлома клиентской части, лишь немногим отличаются от тех, которые применяются для взлома таких крупных серверов Internet, как www.amazon.com. Различие состоит лишь в степени затрачиваемых усилий и в масштабе всего мероприятия. Вместо того чтобы концентрировать усилия на одной мишени или определенном приложении Web-сервера, при взломе пользовательских систем хакер должен привести к общему знаменателю широкий спектр потенциальных жертв. Обычно в качестве таких критериев выбирается частое использование Internet, чрезвычайно популярные и широко используемые программные продукты компании Microsoft, а также недостаточное осознание проблем безопасности простыми смертными, которые работают с этим программным обеспечением.

В книге уже было описано немало атак, которые основываются на этих обстоятельствах. В главе 4 обсуждались взломы компьютеров, на которых установлены операционные системы компании Microsoft (Win 9x/ME), а среди обитателей Internet они составляют безоговорочное большинство. В главах 4 и 14 речь шла о программах типа "троянский конь" и средствах создания "потайных ходов", часто внедряемых в системы ничего не подозревающих пользователей, а также о социальной инженерии, эффективно применяемой хакерами для вовлечения операторов ЭВМ в свои злонамеренные замыслы. Методы, которые представлены в этой главе, также основываются на некоторых из вышеупомянутых принципов. Вы познакомитесь с самыми разнообразными и коварными способами внедрения "потайных ходов", а также с эффективным использованием социальной инженерии, когда активно применяются различные технические средства.

Прежде чем приступать к изложению основного материала, хотелось бы предупредить некоторых невыдержанных читателей о том, что все, о чем пойдет речь, требует умелого обращения. Без сомнения, найдутся читатели, которые будут критиковать книгу за подробное объяснение многих типов взломов. На это можно ответить следующим образом: только доскональное знание тактики противника может обезопасить потенциальных жертв. Знакомство с представленным материалом позволит многим пользователям открыть глаза на реальное положение дел. Читайте и набирайтесь знаний, позволяющих защитить свой уголок Internet.

Атаки с использованием вложений

Одной из наиболее удобных особенностей электронной почты является возможность вставки в сообщения файлов. Однако это удобство, позволяющее сэкономить время, имеет и очевидные отрицательные стороны, а именно: у пользователей появляется непреодолимая тяга запустить чуть ли не каждый файл, полученный по электронной почте. Кажется, никому не нужно напоминать, что это равносильно приглашению к себе в гостиную плохих парней.

В последующих разделах обсуждаются многие виды атак, основанных на использовании файлов, вставленных в электронные сообщения. Существует ряд механизмов, позволяющих замаскировать истинные цели файла-вложения или придать ему притягательную форму, при которой палец жертвы сам тянется к кнопке мыши. Некоторые из описанных видов атак являются намного более коварными, когда вложенный файл записывается на диск без какого бы то ни было участия со стороны пользователя и его уведомления. Большинство пользователей Internet понимают, что с вложениями электронной почты нужно обращаться крайне осторожно и с большой долей скептицизма. Авторы надеются, что следующий раздел окончательно утвердит их в этом мнении.

Взлом с использованием в качестве вложений файлов-оболочек
Малоизвестным секретом системы Windows является то, что у файлов с расширением . SHS их реальное расширение по умолчанию скрыто в соответствии с параметром системного реестра HKEY_CLASSES_ROOT\ShellScrap\NeverShowExt. Очевидно, что в этом не было бы ничего особенного, если бы эти файлы .SHS, также известные как объекты Shell Scrap Objects, не обладали возможностью запускать команды. Основанные на технологии Object Linking and Embedding (OLE), обсуждавшейся в разделе, посвященном элементам управления ActiveX, эти файлы являются, по существу, оболочками для других внедренных объектов. Такими объектами могут быть электронные таблицы Excel (большинство читателей знают, что их можно помещать в документы Word) или файлы другого типа. Самый простой способ создать такой файл — это поместить какой-либо файл в другое приложение, поддерживающее технологию OLE (например, Wordpad), а затем скопировать его пиктограмму в другую папку. Теперь файл, который мы вставляли, содержится в своем собственном файле-оболочке, имеет свою пиктограмму и уникальное расширение (SHS). При запуске файла SHS помещенный в него объект запускается вместе с ним. Более того, с помощью компонента Microsoft Object Packager с вложенным объектом можно связывать команды, что открывает новые возможности для тех, кто хоть немного знаком с DOS.

В июне 2000 года неизвестным злоумышленником был запущен "червь", получивший название LifeChanges. Его работа основывалась на описанных свойствах файлов . SHS. Этот "червь" направлялся в виде электронного сообщения с изменяющейся строкой темы, которая указывала на то, что во вложении находятся анекдоты. Файл вложения на самом деле был файлом . SHS с обманным расширением .ТХТ, которое делало его похожим на обычный текстовый файл (даже установленная по умолчанию пиктограмма этого файла была похожа на пиктограмму текстового файла). После запуска LifeChanges выполнял стандартные действия: рассылал себя по почте первым 50 адресатам из адресной книги жертвы, удалял файлы и т.д. Очень интересно было наблюдать, как кто-то выбрал основой для взлома коварную особенность файлов . SHS, которая была известна на протяжении нескольких лет, и с такой легкостью попал в хронику Web-узла PCHelp (http://www.pc-help.org/security/scrap.htm). Кто знает, сколько мин еще заложено в системном реестре Windows?

Контрмеры против использования файлов. SHS

На Web-узле PCHelp приведены некоторые замечательные советы по снижению риска от применения наиболее опасных свойств файлов . SHS. В число этих рекомендаций входят следующие.

  • Удалите упоминавшийся ранее параметр системного реестра NeverShowExt и параметр HKLM\SOFTWARE\Classes\DocShortcut, чтобы расширения . SHS и . SHB стали видны в Windows. (Файлы . SHB обладают аналогичными свойствами.)


  • Замените используемые антивирусные программы теми, в которых файлы . SHS и .SHB рассматриваются как исполняемые.


  • Полностью откажитесь от файлов-оболочек, удалив их из списка известных типов файлов Windows либо удалив из папки System файл shscrap.dll.


    • Сокрытие расширения вложения с помощью пробелов

    18 мая 2000 года Волкер Вес (Volker Werth) поместил в списке рассылки Incidents сообщение, в котором говорилось об одном методе отправки вложений в почтовых сообщениях. Особенность этого метода заключалась в остроумном способе маскировки имени присоединенного файла. Вставка в имя файла символов пробелов (%20) приводила к тому, что почтовые программы отображали только первые несколько символов имени файла. Например,

    freemp3.doc ... [150 пробелов]....ехе

    Название этого вложения выглядит в интерфейсе пользователя как freemp3.doc. Сам файл кажется вполне безобидным и, казалось бы, его можно сохранить на диске или запустить прямо из почтовой программы. Вот как выглядит моментальный снимок окна программы Outlook Express.

    Атаки с использованием вложений

    Контрмеры против сокрытия имени присоединенного файла

    Из приведенного рисунка видно, что файл вложения не является документом Word. На это указывает и троеточие (...)• Если этих признаков недостаточно, то вообще не стоит открывать файл вложения прямо из почтовой программы! В этом поможет модуль обновления Outlook SR-1 Security. После его установки пользователю придется принудительно сохранять на диске те файлы, которые могут нанести ущерб.

    Методы социальной инженерии, помогающие ввести пользователя в заблуждение и загрузить вложение

    Социальная инженерия — это действенный метод, помогающий убедить пользователя сохранить файл вложения на диске. Вам когда-нибудь встречалось сообщение со следующим текстом?

    "This message uses a character set that is not supported by the Internet Service. To view the original message content, open the attached message. If the text doesn't display correctly, save the attachment to disk, and then open it using a viewer that can display the original character set."

    ("В данном сообщении используется набор символов, которые не поддерживаются используемой службой Internet. Чтобы просмотреть содержимое первоначального сообщения, откройте вложенное сообщение. Если текст отображается некорректно, сохраните вложение на диске, а затем откройте его с помощью программы просмотра, которая может отобразить первоначальный набор символов".)

    Это стандартное сообщение, которое создается в том случае, когда почтовые сообщения (в формате . EML) пересылаются пользователям Outlook и возникают некоторые ошибки с обработкой данных MIME вложенного/полученного сообщения. В этом случае каждый может попасться на крючок, что позволяет добиться запуска вложения (либо напрямую, либо после сохранения его на диске). Авторам доводилось получать такие сообщения даже с очень известных серверов. Конечно, это лишь одна из многочисленных возможностей, которой взломщики могут воспользоваться для реализации своих злонамеренных замыслов. Будьте бдительны!

    Меры предосторожности против трюков с вложением

    Контролируйте свои действия и не совершайте необдуманных поступков. Перед тем как запустить сохраненные на диске вложения, проверяйте их на наличие вирусов с помощью специальных программ. Даже если в результате проверки не будет обнаружено ничего подозрительного, перед запуском нужно всерьез подумать о том, кто является автором сообщения. При этом помните, что такие вирусы-"черви", как ILOVEYOU, могут быть получены даже от самых близких друзей.

    Глобальные контрмеры против атак на пользователей Internet

    В этой главе приведено множество опасных атак на пользователей Internet. Многие из описанных приемов направлены на то. чтобы обманным путем принудить пользователя запустить вирус, "червь" или другой опасный код. Кроме того, были представлены многие частные решения подобных проблем. Теперь пришло время познакомиться с общими методами зашиты против подобных атак.

    Изъяны фреймов HTML в Internet Explorer

    Малоизвестной особенностью броузера Internet Explorer является возможность использования доменной модели обеспечения безопасности ("cross-domain security model"). Исчерпывающее описание этой концепции можно найти по адресу http://www.microsoft.com/technet/security/bulletin/fq00-009.asp. Вкратце это означает следующее. Описываемая модель скрыто используется и предотвращает чтение, доступ и любые другие операции с данными, открытыми в окне одного узла (простейшая форма домена IE), со стороны окна другого узла. При таком подходе фреймы HTML, открытые в каком-либо окне, должны быть доступны только из родительского окна при условии, что оба они относятся к одному и тому же домену.

    Интересной особенностью этой модели является то, что локальная файловая система, содержимое которой можно просматривать с помощью Internet Explorer, тоже рассматривается как домен. Таким образом, при нарушении доменной безопасности в распоряжении нечестных операторов Web-узлов окажется много возможностей просмотра данных не только других узлов, посещаемых пользователем, но и файлов, которые находятся на его собственном жестком диске.

    Используя некоторые из возможных подходов, достаточно написать лишь несколько строк кода и поместить его на Web-узле или отправить в электронном сообщении. Ниже приведено несколько реализаций этой идеи.

    Чтение других доменов с помощью дескриптора IFRAME и document.execCommand
    Эксперт в области безопасности броузеров Георгий Гунински (Georgi Guninski) обнаружил несколько случаев нарушения модели доменной безопасности, предотвращающей обмен данными между доменами.

    При реализации кода Георгий часто использовал дескриптор iFRAME, который уже упоминался выше. Этот дескриптор является расширением стандарта HTML 4.0. В отличие от стандартного дескриптора FRAME, i FRAME позволяет создать плавающий фрейм, который располагается посредине обычной Web-страницы, не содержащей фреймов, подобно вставленному в нее изображению. Это довольно простой способ вставки содержимого других узлов (и даже файловой системы) внутрь Web-страницы, который прекрасно подходит для скрытого получения доступа к данным других доменов.

    Описываемая реализация представляет собой замечательный пример. В исходном файле дескриптор I FRAME служит для задания локального файла. Затем в I FRAME вставляется код JavaScript, который выполняется в домене файловой системы. Если нечестный оператор Web-узла знает имя файла (или может о нем догадаться) и его местоположение, то при желании он сможет просмотреть файл любого типа, который может быть открыт в окне броузера. Например, файл winnt\repair\sam._ таким способом прочитать не удастся, поскольку при этом на экран будет выведено диалоговое окно загрузки файла IE. Георгий представил пример кода, который считывает файл C:\test.txt (при условии, что он существует на диске пользователя).

    Контрмеры

    Установите модуль обновления, который можно найти по адресу http://www. microsoft.com/technet/security/bulletin/ms99-042.asp. Можно также отключить режим использования активных сценариев с помощью процедуры, описанной в разделе "Разумное Использование Зон Безопасности: Общее Решение Проблемы Элементов ActiveX".

    Проверка принадлежности к доменам Internet Explorer

    В июне 2000 года Эндрю Носенко (Andrew Nosenko) из компании Mead & Company сообщил о том, что в Internet Explorer две функции не выполняют надлежащую проверку принадлежности к домену. Это позволяет создать такую страницу HTML, которая открывала бы фрейм с локальным файлом и могла читать этот файл . В стремлении быть непревзойденным, Георгий Гунински тоже поместил на своем узле сообщение о подобной уязвимости. Код Георгия поражает обманчивой простотой.





    --_boundary2 --

    --_boundaryl_--

    Content-Type: application/binary;

    name="abcde.chm"

    Content-ID: <5551212>

    Content-Transfer-Encoding: base64

    [Закодируйте файл abode.chm с

    помощью утилиты mpack и вставьте его здесь]

    —_boundaryl_—

    quit

    В процессе тестирования, выполненного авторами на программах Outlook и Outlook Express, установленных в системах Windows 9x, NT и 2000, этот метод работал безотказно, чаще всего в режиме предварительного просмотра. Строки, которые начинаются с setTimeout, задают каталог каждой из трех операционных систем. Сможете ли вы установить между ними соответствие?

    Одним из ключевых элементов приведенного листинга является поле Content-ID. В нашем примере в этом поле введено число 5551212. Параметр scr дескриптора IFRAME, который содержится в теле сообщения, ссылается на идентификатор вложения этого сообщения, имеющего формат MIME. При этом возникает остроумно задуманная циклическая ссылка, позволяющая записать вложение на диск и обратиться к нему из одного и того же почтового сообщения.

    Контрмеры против использования дескрипторах FRAME

    Единственной защитой против атак такого рода является осторожное обращение с элементами управления ActiveX, как упоминалось в разделе, посвященном зонам безопасности. О выпуске соответствующего модуля обновления компания Microsoft не позаботилась.

    Запуск произвольного кода с помощью электронной почты

    При описании следующих атак будут продемонстрированы различные механизмы запуска команд на целевом компьютере. Многие из них приводятся в действие при открытии коварных сообщений или их предварительном просмотре в соответствующей части окна программ Outlook и Outlook Express.

    Атаки с использованием элементов ActiveX, помеченных как "safe for scripting"
    Взломщики не могли выдумать ничего более убийственного: все, что нужно сделать жертве, — это просто прочитать сообщение (или просмотреть его в окне предварительного просмотра программ Outlook и Outlook Express, если такая возможность имеется). При этом со стороны пользователя не требуется никакого вмешательства. Эта чудовищная "простота" снова появилась благодаря элементу управления Scriptlet. typelib, помеченному как "safe for scripting" (более подробно этот вопрос обсуждается в разделе, посвященном элементам ActiveX). С такой же легкостью можно использовать Eyegod.ocx, но метод, рассматриваемый в данном разделе, основан на применении проверочного кода Георгия Гунински, в котором используется элемент управления Scriptlet. typelib. Напомним, что Георгий поместил этот код на своем Web-узле. Ниже приведена слегка модифицированная версия этого кода, вставленного в капсулу для взлома почты.

    helo somedomain.com

    mail from:

    rcpt to:

    data

    subject: Ya gotta read this!

    MIME-Version: 1.0

    Content-Type: text/html; charset=us-ascii

    Content-Transfer-Encoding: 7bit

    If you have received this message in error, please delete it.


    classid="clsid:06290BD5-48AA-llD2-8432-006008C3FBFC">







    quit

    Этот код проводит атаку в два этапа. Во-первых, он создает в папке Startup на компьютере пользователя файл приложения HTML (с расширением .НТА) и записывает в него содержимое сценария. Этот файл создается почти незаметно для пользователя, пока он просматривает сообщение (если внимательно следить за световым индикатором жесткого диска, то можно заметить его мерцание). Вот как выглядит наше тестовое сообщение в папке inbox (ниже на рисунке показано окно программы Outlook Express). Для завершения взлома достаточно отобразить сообщение в окне предварительного просмотра.

    Запуск произвольного кода с помощью электронной почты

    Следующий этап произойдет, когда пользователь перезагрузит компьютер. Рано или поздно это неизбежно случится. Конечно же, можно написать такой сценарий, который сам выполнял бы перезагрузку. При этом запустится файл .НТА (данные файлы автоматически интерпретируются командной оболочкой Windows). В нашем случае пользователь получит следующее "приветственное" сообщение.

    Запуск произвольного кода с помощью электронной почты

    Эти безобидные действия — одна из многих реализаций в безбрежном море возможностей. В подобной ситуации жертва полностью находится в руках взломщика.

    Действие так называемого червя КАК основано на уязвимости Scriptlet, который тоже можно использовать для охоты на доверчивых (и не пользующихся модулями обновления) пользователей Outlook и ОЕ. Более подробную информацию о "черве" КАК можно найти по адресу http://www.syiri.antec.com/avcenter/venc/data/wscript. kakworm.html.

    Контрмеры

    Примените модули обновления для компонентов ActiveX Scriptlet и Eyedog, которые можно получить по адресу http://www.microsoft.com/technet/security/ bulletin/ms99-032.asp.

    Еще раз следует напомнить, что данные модули обновления позволят устранить проблему, связанную только с данными компонентами. Более универсальной мерой является отключение в программах электронной почты возможности применения элементов управления ActiveX. Используемая для этого процедура описана в разделе, в котором рассматриваются зоны безопасности.

    "Запуск" документов MS Office с помощью элементов ActiveX

    Георгий Гунински не ограничил свои изыскания использованием дескрипторов HTML в электронном сообщении для загрузки потенциально опасных элементов управления ActiveX. В последующих информационных сообщениях, опубликованных на его узле, сообщается, что с помощью этого же метода могут быть "запущены" и потенци-ачьно опасные документы Microsoft Office ("поведение" этих документов очень похоже на поведение элементов управления ActiveX). С результатами исследований можно ознакомиться по адресу http://www.nat.bg/-joro/sheetex-desc.html (для документов Excel и PowerPoint) и http://www.nat.bg/~joro/access-desc.html (здесь описывается процедура запуска кода VBA, содержащегося в базах данных Access).

    Руководствуясь двумя соображениями, в этом разделе будет рассмотрена вторая из этих возможностей. Во-первых, вопросы, связанные с Excel и PowerPoint, более интересны ввиду способности этих приложений незаметно записывать файлы на диск, что будет обсуждаться в последующих разделах. Во-вторых, изъян, основанный на использовании Access, по мнению большинства специалистов в области обеспечения безопасности, является более серьезным, поскольку справиться с ним не помогают все те меры предосторожности, которые применяются для защиты от элементов управления ActiveX. Даже если полностью запретить их использование, система все равно остается уязвимой. Вот как высоко оценили серьезность этой проблемы специалисты института SANS: "Возможно, это одна из самых опасных ошибок, допущенных компанией Microsoft в программах для рабочих станций Windows (всего ряда — 95. 98, 2000, NT 4.0)". Грустно, что это замечание, которое на первый взгляд наполнено сенсуализмом, на самом деле может оказаться не так далеко от истины.

    Проблема заключается в том способе, который в системе Windows используется для проверки файлов Access (.MDB) при их загрузке в Internet Explorer с помощью дескриптора OBJECT, как показано в следующем фрагменте кода HTML, предоставленного Георгием Гунински.

    OBJECT data="db3.mdb" id="dl">

    Как только программа Internet Explorer встречает дескриптор объекта, загружается база данных Access, имя которой задано в параметре data=, а затем для ее открытия вызывается программа Access. Это происходит перед тем, как пользователь получит предупреждение о потенциальной опасности, которая при этом может возникнуть. Таким образом, база данных будет запущена независимо от того, настроен IE/Outlook/ОЕ для запуска элементов управления ActiveX или нет. Ну и дела!

    Пример Георгия основан на применении удаленного файла с именем db3.mdb, который он разместил на своем Web-узле. Этот файл представляет собой базу данных Access. где находится одна форма, запускающая текстовый редактор Wordpad. Вот еще одна капсула для взлома электронной почты, демонстрирующая, как можно реализовать эту атаку.

    helo some domain, corn

    mail from:

    rcpt to:

    data

    subject: And another thing!

    Importance: high

    MIME-Version: 1.0

    Content-Type: text/html; charset=us-ascii



    Enticing message here!



    id="dl"x/OBJECT>



    quit

    В этом примере явно задан URL файла db3.mdb (строка 12), чтобы можно было использовать его в сообщении электронной почты. Институтом SANS было выдвинуто требование, чтобы при доступе и совместном использовании файлов Access через Internet применялся протокол SMB. Просто поразительно, сколько FTP-серверов предоставляет свои ресурсы для бесконтрольного размещения данных и доступа к ним. В следующих разделах указаны другие места хранения данных, которые могут заинтересовать взломщиков.

    Основной особенностью атак этого типа является то, что обработка этих простых дескрипторов программами IE/Outlook/ОЕ приводит к запуску файлов, в которых содержится мощный макрос VBA. При этом не требуется какого-либо вмешательства пользователя. Неужели такая перспектива еще никого не встревожила?

    Контрмеры: задание пароля администратора Ассеss


    Запрещение использования элементов управления ActiveX не предотвратит возможности реализации описанных атак. Поэтому нужно применить модуль обновления в соответствии с инструкциями, приведенными по адресу http://www.microsoft.com/-technet/security/bulletin/MS00-049.asp. Особое внимание следует обратить на модуль обновления, предназначенный специально для устранения проблемы, связанной с Access (компания Microsoft назвала ее изъяном "сценария IE" ("IE Script")).

    Компания Microsoft рекомендует также воспользоваться следующим средством, которое будет полезно независимо от того, был ли установлен модуль обновления. Для программы Access нужно установить пароль администратора (по умолчанию он не используется). Выполните для этого следующие действия.

    1. Запустите Access 2000, но не открывайте никаких баз данных.

    2. Выберите команду Tools>Security.

    3. Выберите пункт User And Group Accounts.

    4. Выберите пользователя Admin, который должен существовать по умолчанию.

    5. Перейдите во вкладку Change Logon Password.

    6. Если до этого не были внесены никакие изменения, пароль администратора должен быть пустым.

    7. Введите пароль администратора.

    8. Для выхода щелкните на кнопке ОК.

    Это должно предотвратить возможность запуска злонамеренного кода VBA и его работы с высокими привилегиями. Специалисты SANS также отметили, что блокирование брандмауэром исходящих запросов на совместное использование файлов Windows (порты TCP 139 и TCP 445) позволит уменьшить вероятность необдуманного запуска пользователями удаленного кода.

    Запуск файлов с помощью ненулевого параметра CLSID элементов ActiveX

    Причиной выявления данного изъяна послужило вскользь сделанное замечание в дискуссии, которая велась в бюллетене Bugtraq по поводу уязвимости, обусловленной "навязыванием" файла вложения (см. ниже), которую предложили реализовать на узле malware. com. Велд Понд (Weld Pond), высококлассный хакер из группы LOpht, прославившийся благодаря утилите netcat для NT (см. главу 5), завел со своим коллегой Oil Dog из группы "Cult of Dead Cow", знаменитым автором программы Back Orifice 2000 (см. главы 4 и 14), разговор о механизме запуска файлов, навязанных пользователям по методике malware.com. Оказывается, можно запустить любой файл, поместив в тело электронного сообщения дескриптор OBJECT и сконфигурировав его с помощью ненулевого параметра CLSID. При этом в мишень превращается каждый исполняемый файл, находящийся на диске пользователя. Ниже приведен пример соответствующей капсулы для взлома электронной почты.

    helo somedomain.com

    mail from:

    rcpt to:

    data

    subject: Read this!

    Importance: high

    MIME-Version: 1.0

    Content-Type: text/html; charset=us-ascii










    CODEBASE='с:\windows\calc.exe'X/OBJECT>



    quit

    Обратите внимание на ненулевой параметр CLSID. Именно он приводит в действие весь механизм. Файл, который будет запущен, задается параметром CODEBASE.

    Однако в процессе тестирования выяснилось, что для того, чтобы этот способ успешно сработал, требуется удачное расположение планет. Первое необходимое условие заключается в том, что нужно, чтобы в программе Outlook Express 5.00.2615.200 для зоны был установлен уровень безопасности Low. Кроме того, при попытке запуска файла calc.exe из папки System появлялось диалоговое окно с предупреждением о неподписанном элементе управления. Для такого стечения обстоятельств пользователи должны быть достаточно безграмотны. Но если проделать это все же удастся, то появляются заманчивые перспективы, особенно при использовании этого способа совместно с возможностью записи файлов на диск, предложенной на Web-yxie malware. com.

    Контрмеры против использования ненулевого параметра CLSID

    Основываясь на результатах тестирования, авторы утверждают, что установка соответствующего уровня безопасности зоны позволит устранить эту проблему (см. в предыдущих разделах описание зон безопасности).

    Переполнение буфера поля даты в программах Outlook и Outlook Express

    Возможно, кому-то из читателей показалось, что стержнем большинства типов атак являются элементы управления ActiveX. 18 июля 2000 года в бюллетене Bugtraq появилось сообщение об изъяне программ Outlook и Outlook Express совсем другого типа, не имеющем ничего общего с элементами ActiveX.

    Проблема заключается в классическом переполнении буфера, причиной которого может послужить заполнение раздела GMT (Greenwich Mean Time — среднее время по Гринвичу) поля даты заголовка электронного сообщения чрезмерно большой порцией данных. В процессе загрузки такого сообщения через протоколы РОРЗ или IMAP4 файл INCETCOMM.DLL, который отвечает за анализ значения GMT, не выполняет необходимой проверки переполнения границ. Это приводит к возникновению аварийной ситуации в программах Outlook и Outlook Express и возможности запуска произвольного кода. Ниже приведен пример кода, работа которого основана на наличии этого изъяна.

    Date: Tue, 18 July 2000 14:16:06 +<около 1000 байтхкод для запуска>

    В этой книге уже неоднократно упоминалось, что возможность запуска в системе произвольного кода открывает неограниченные возможности. Коварное сообщение позволяет незаметно установить программу типа "троянский конь". Через него могут распространяться "черви", а, кроме того, оно может дискредитировать целевую систему, запускать вложения — одним словом, делать практически все, что заблагорассудится.

    Пользователям Outlook Express достаточно лишь открыть папку с представляющим опасность сообщением, и они сразу же становятся уязвимыми. Простая загрузка такого сообщения в процессе проверки почты может привести к переполнению буфера и возникновению исключительной ситуации. Таким образом, пользователи ОЕ попадают в замкнутый круг: сообщение не может нормально загрузиться, а его содержимое приводит к аварии программы при каждой последующей попытке восстановить почтовую программу. Одним из способов устранения описанной проблемы является просмотр почты и удаление вызвавшего аварию сообщения (при условии, что мы можем его "вычислить") с помощью почтового клиента, отличного от Outlook/OE. Это легко сделать, используя программу Netscape Messenger, в окне предварительного просмотра которой отображается дата сообщения, по которой можно понять, какое из сообщений привело к сбою. Пользователи Outlook уязвимы во время предварительного просмотра, чтения и пересылки сообщения, вызывающего неполадки, а также тогда, когда они на него отвечают.

    Первоначально код, основанный на данном изъяне, был опубликован в бюллетене Bugtraq. Однако позже выяснилось, что данный подход можно применять лишь против сервера, входящего в состав частной локальной сети. Поэтому он неприменим, если его использовать портив пользователя, подсоединенного к Internet через модем. Как представляется, эта публикация стала результатом ошибки Аарона Дрю (Aaron Drew), который, по-видимому, пытался применить подход, подобный описанному в этой главе методу капсулы для взлома электронной почты, но вместо этого ошибочно отправил свое сообщение в бюллетень Bugtraq. Подготовленное для официального оглашения, это сообщение выглядело бы следующим образом (обратите внимание на строку Date, в которой для краткости опущены данные, вызывающие переполнение; в примере они заключены в квадратные скобки, которые не являются необходимыми).

    helo somedomain.com

    mail from:

    rcpt to:

    data

    Date: Sun, 7 May 2000 11:20:46

    +[~1000 байт + код в шестнадцатеричном формате или ascii]

    Subject: Date overflow!

    Importance: high MIME-Version:

    1.0 'Content-Type: text/plain;

    charset=us-ascii

    This is a test of the Outlook/OE date field overflow,

    quit

    Группа Underground Security Systems Research (USSR, http://www.ussrback.com) также сообщила о том, что обнаружила эту брешь (по крайней мере, об этом заявил хакер Метатрон (Metatron)). Однако, по их утверждению, они не стали сообщать о ней публично, ожидая, пока Microsoft выпустит соответствующий модуль обновления. На базе этого изъяна группа USSR опубликовала свою реализацию, что вызвало интерес к их Web-узлу. Код запускается почти таким же образом, как и в предыдущем примере.

    Контрмеры против переполнения поля даты

    Согласно информационному сообщению компании Microsoft, которое можно найти на ее Web-узле по адресу http://www.microsoft.com/technet/
    security/bulletin/ MS00-043.asp, изъян может быть устранен с помощью модуля обновления, находящегося по адресу http://www.microsoft.com/windows/
    ie/download/critical/patch9.htm.

    Кроме того, эту проблему можно решить, установив одно из следующих обновлений с параметрами, принятыми по умолчанию.

  • Internet Explorer 5.01 Service Pack 1.


  • Internet Explorer 5.5 на любую систему за исключением Windows 2000.


    • Если выполняется установка, отличная от установки по умолчанию, и во время этого процесса устанавливаются обновленные компоненты Outlook Express, то эта уязвимость также устраняется (при этом у пользователя будет возможность соответствующего выбора).

    При установке на компьютер с операционной системой Windows 2000 IE 5.5 не устанавливает обновленные компоненты Outlook Express, поэтому этот изъян не устраняется.

    Следует также заметить, что по утверждению компании Microsoft пользователи Outlook, у которых эта программа настроена только для использования служб MAPI, не подвержены негативному влиянию, независимо от установленной у них версии Internet Explorer. Если службы электронной почты Internet не установлены (Tools>Services), то библиотека INETCOMM.DLL не используется.

    Защита шлюзов

    Надежная стратегия защиты на уровне сети является наиболее эффективным способом защиты большого количества пользователей. В качестве средства для решения многих описанных в этой главе проблем, конечно же, следует выбрать брандмауэр. Особое внимание нужно уделять спискам управления доступом из глобальной сети, которые могут стать мощной преградой для коварного кода, пытающегося проникнуть на плохо настроенные внутренние серверы.

    Кроме того, имеется множество программных продуктов, осуществляющих сканирование входящей электронной почты и трафика Web и выполняющих поиск опасного мобильного кода. Одним из таких примеров является пакет SurfinGate компании Finjan , который можно использовать на границе сети (в качестве дополнения к существующему брандмауэру или в качестве proxy-сервера) для проверки всего получаемого извне кода Java, элементов ActiveX, JavaScript, исполняемых файлов, сценариев на Visual Basic и файлов cookie. Затем на основе действий, запрашиваемых каждым модулем кода, программа SurfinGate создает соответствующий профиль. Далее модули однозначно идентифицируются с помощью хэш-кода MD5, так что при загрузке каждого модуля требуется лишь одно сканирование. Созданный профиль сравнивается с политикой безопасности, созданной сетевым администратором. Затем на основе результатов сравнения программой SurfinGate принимаются "разрешающие" или "блокирующие" решения. Компания Finjan предоставляет также различные версии программы SurfinGuard, которая обеспечивает механизм защиты против необдуманного запуска загруженного кода.

    Интересная технология, реализованная компанией Finjan, помогает загруженным и малоинформированным пользователям в решении проблемы защиты от мобильного кода. Дополнительным преимуществом этого заградительного барьера является его способность предотвращать атаки с применением средств сжатия исполняемых файлов в формате РЕ (portable executable), которые способны уплотнять .ЕХЕ файлы Win32 и фактически изменять их бинарную подпись. В результате уплотненный исполняемый файл может ввести в заблуждение любой статический механизм вирусной проверки, поскольку исходный файл . ЕХЕ не извлекается до его запуска (поэтому традиционная проверка ничего не дает). Конечно же, успех такой стратегии зависит от принятой политики безопасности и заданных параметров специального программного обеспечения, которые по-прежнему настраиваются теми же безответственными людьми, которые повинны во многих описанных в этой главе ошибках.