Хакеры эксплуатировали Word недостаток в течение нескольких месяцев, в то время как Microsoft исследовала
Чтобы понять, почему так трудно защищать компьютеры от даже умеренно способных хакеров, рассмотрим случай недостатка безопасности, официально известный как CVE-2017—0199.
Ошибка была необычно опасной, но общего жанра: она была в программном обеспечении Microsoft, позволила хакеру захватить контроль над персональным компьютером с небольшим количеством следов и была исправлена 11 апреля в очередном ежемесячном обновлении безопасности Microsoft.
Но он преодолел скалистую девятимесячную поездку от открытия до разрешения, о котором говорят эксперты по кибербезопасности, необычно долгое время.
Исследователи безопасности Google, например, дают поставщикам предупреждение всего за 90 дней перед публикацией недостатков, которые они находят. Microsoft Corp отказалась сказать, сколько времени обычно требуется для исправления недостатка.
В то время как Microsoft расследовала, хакеры нашли недостаток и манипулировали программным обеспечением, чтобы шпионить за неизвестными русскоязычными, возможно, в Украине.
РЕЙТЕРЫ РЕКОМЕНДУЮТ
Эксклюзив: Клаус Грохманн Теслы вытеснил после столкновения с генеральным директором Муском — источники
Facebook заявляет, что будет действовать против «информационных операций» с использованием ложных учетных записей
Генеральный директор Alphabet рекламирует результаты корпоративной реструктуризации
И группа воров использовала его, чтобы поддержать свои усилия, чтобы украсть у миллионов банковских счетов в Австралии и других странах.
Эти выводы и другие детали появились из интервью с исследователями в кибер-охранных фирмах, которые изучали события и анализировали версии кода атаки.
Microsoft подтвердила последовательность событий.
Сказка началась в июле прошлого года, когда Райан Хэнсон, выпускник 2010 года в Айдахо штата Айдахо и консультант бутик-охранной фирмы Optiv Inc в Бойсе, обнаружил слабость в том, что Microsoft Word обрабатывает документы из другого формата. Это позволило ему вставить ссылку на вредоносную программу, которая будет управлять компьютером.
КОМБИНИРОВАНИЕ FLAWS
Хэнсон провел несколько месяцев, комбинируя свою находку с другими недостатками, чтобы сделать ее более смертельной, сказал он в Twitter. Затем в октябре он рассказал Microsoft. Компания часто платит скромную сумму в несколько тысяч долларов за идентификацию рисков безопасности.
Вскоре после этого шесть месяцев назад Microsoft могла решить эту проблему, признала компания. Но все было не так просто. Быстрое изменение настроек в Word клиентами будет делать трюк, но если Microsoft уведомит клиентов об ошибке и рекомендуемых изменениях, это также сообщит хакерам о том, как взломать.
Кроме того, Microsoft могла бы создать патч, который будет распространяться в рамках ежемесячных обновлений программного обеспечения. Но компания не исправлялась сразу и вместо этого копала глубже. Он не знал, что кто-то использует метод Хэнсона, и он хотел убедиться, что у него есть комплексное решение.
«Мы провели расследование, чтобы выявить другие потенциально подобные методы и убедиться, что наши исправления адресуют больше, чем просто сообщается о проблеме», — сказал Microsoft через пресс-секретаря, который ответил на вопросы по электронной почте о состоянии анонимности. «Это было сложное расследование».
Хансон отказался от запросов на интервью.
Сага показывает, что прогресс Microsoft в вопросах безопасности, а также в индустрии программного обеспечения в целом, остается неравномерным в эпоху, когда ставки резко возрастают.
Соединенные Штаты обвинили Россию в том, что она взламывает электронные письма политических партий, чтобы вмешиваться в президентские выборы 2016 года, обвинение, которое отвергает Россия, в то время как теневые группы хакеров, выступающие против правительства США, публикуют хакерские инструменты, используемые Центральным разведывательным управлением и Агентством национальной безопасности.
НАПАДЕНИЯ НАЧИНАЮТСЯ
Непонятно, как неизвестные хакеры впервые обнаружили ошибку Хэнсона. Это могло быть связано с одновременным обнаружением, утечкой в процессе внесения исправлений или даже взломом против Optiv или Microsoft.
В январе, когда Microsoft работала над решением, начались атаки.
Первым известным жертвам были отправлены электронные письма, заставляющие их щелкнуть ссылку на документы на русском языке о военных проблемах в России и районах, находящихся под защитой России повстанцами на востоке Украины, говорят исследователи. Их компьютеры были затем заражены программным обеспечением подслушивания, сделанным Gamma Group, частной компанией, которая продает агентствам многих правительств.
Наилучшее предположение экспертов по кибербезопасности заключается в том, что один из клиентов Gamma пытался проникнуть внутрь компьютеров солдат или политических деятелей в Украине или России; Любая из этих стран или кто-либо из их соседей или союзников мог быть ответственным. Такой правительственный шпионаж рутин.
Первоначальные атаки были тщательно направлены на небольшое количество целей и поэтому оставались ниже радара. Но в марте исследователи безопасности в FireEye Inc заметили, что известная часть финансового хакерского программного обеспечения, известного как Latenbot, распространялась с использованием той же самой ошибки Microsoft.
FireEye исследовал дальше, обнаружил более ранние русскоязычные атаки и предупредил Microsoft. Компания, которая подтвердила, что она была впервые предупреждена об активных атаках в марте, попала на след 11 апреля.
Затем, то, что считается катастрофой в мире баг-фиксаторов, поразило. Еще одна фирма по обеспечению безопасности, McAfee, увидела некоторые атаки с использованием недостатка Microsoft Word 6 апреля.
После того, что он назвал «быстрым, но углубленным исследованием», он установил, что недостаток не был исправлен, связался с Microsoft, а затем написал о своем открытии 7 апреля.
В сообщении в блоге было достаточно подробностей, чтобы другие хакеры могли имитировать атаки.
Другие специалисты по безопасности программного обеспечения были ошеломлены тем, что McAfee не стала ждать, как делали Optiv и FireEye, пока не вышел патч.
Вице-президент McAfee Винсент Уифер обвинил «сбой в наших коммуникациях с нашим партнером Microsoft» в отношении сроков. Он не уточнил.
К 9 апреля программа по использованию уязвимости была продана на подземных рынках для преступных хакеров, сказал исследователь FireEye Джон Хутквист.
На следующий день атаки были обычным явлением. Кто-то использовал его для отправки документов, замаранных в ловушку с программным обеспечением для борьбы с банковским мошенничеством Dridex, для миллионов компьютеров в Австралии.
Наконец, во вторник, около шести месяцев после слушания в Hanson, Microsoft сделала патч доступным. Как всегда, некоторые владельцы компьютеров отстают и не установили его.
Сотрудники Университета Бен-Гуриона в Израиле после взлома были взломаны хакерами, связанными с Ираном, которые взяли на себя их учетные записи электронной почты и отправили зараженные документы своим контактам в технологических компаниях и медицинских профессионалах, сказал Майкл Горелик, вице-президент кибер-охранной фирмы Morphisec .
Когда Microsoft заплатала, она поблагодарила Hanson, исследователя FireEye и собственный персонал.
Шестимесячная задержка — это плохо, но неслыханно, — сказал Мартен Микош (Marten Mickos), исполнительный директор HackerOne, координирующий усилия по исправлению ситуации между исследователями и поставщиками.
«Нормальное время фиксации — это вопрос нескольких недель», — сказал Микос.
Частный Optiv сказал через пресс-секретаря, что обычно дает продавцам 45 дней, чтобы сделать исправления до публикации исследований, когда это необходимо, и что он «материально следовал» за этой практикой в этом случае.
Optiv теперь сравнивает детали того, что Хэнсон рассказал Microsoft о том, что шпионы и преступники использовали в дикой природе, пытаясь выяснить, несет ли работа исследователя отчасти ответственность за всемирное взламывание взлома, сообщила пресс-секретарь.
Веселье включало в себя одного или нескольких людей, создавших хакерский инструмент для того, что сказал Хутквист из FireEye, вероятно, является национальным правительством, а затем, похоже, удвоился, продав его преступной группе.
Если исправление занимало время, другие, которые узнали о недостатке, быстро продвигались.
В последний уик-энд перед патчем преступники могли продавать его вместе с хакерами Dridex, или оригинальные производители могли обналичить в третий раз, сказал Хутквист, эффективно поставив последнюю распродажу до того, как потерял максимальную эффективность.
Неясно, сколько человек было в конечном итоге заражено или сколько денег было украдено.
Источник новости