Blogger templates

I Support the Bring Them Back Campaign

14 Σεπ 2016

OS hooking engine: Κρίσιμο ελάττωμα διορθώνεται από τη Microsoft

OS hooking engine: Κρίσιμο ελάττωμα διορθώνεται από τη Microsoft  MicrosoftΗ Patch Tuesday ενημέρωση ασφαλείας του Σεπτεμβρίου της Microsoft περιλαμβάνει την επιδιόρθωση ενός κρίσιμου προβλήματος που εντοπίστηκε από τους enSilo ερευνητές, το οποίο επηρεάζει εκατοντάδες εφαρμογές των Windows, συμπεριλαμβανομένης και της γραμμής των Microsoft προϊόντων.

Στους infosec κύκλους, η ευπάθεια έχει «χαϊδευτικά» ονομαστεί Captain Hook, με βάση το όνομα της παρουσίασης που δόθηκε από τους enSilo ερευνητές στο φετινό Black Hat USA συνέδριο για την ασφάλεια.

Η ερευνητική εργασία της Captain Hook περιέγραφε λεπτομερώς ένα θέμα ευπάθειας της Detours, μια hooking engine που δημιουργήθηκε από τη Microsoft, η οποία επιτρέπει σε εφαρμογές τρίτων να αξιοποιήσουν βασικές OS API λειτουργίες.

Η έρευνα επικεντρώθηκε στα προβλήματα ασφάλειας, τα οποία η ευπάθεια στη Detours εισήγαγε στις antivirus μηχανές, αλλά και σε άλλες εφαρμογές χρησιμοποιούν την Detours engine, συμπεριλαμβανομένου και του Office suite της Microsoft.

OS hooking engine: Κρίσιμο ελάττωμα διορθώνεται από τη Microsoft  Microsoft

Η δεκάχρονη Detours engine χρησιμοποιείται για την οπτικοποίηση εφαρμογών, ως περιβάλλον δοκιμών (sandboxing) και για την παρακολούθηση επιδόσεων. Η αξιοποίηση αυτού του ελαττώματος που ανακαλύφθηκε από την enSilo θα επέτρεπε σε κακόβουλους φορείς να αποφύγουν τα anti-malware συστήματα ανίχνευσης και να εκτελέσουν κακόβουλο κώδικα στη συσκευή.

Η enSilo είπε ότι η Μicrosoft επιδιόρθωσε (patched) αυτό το θέμα στο KB3118268, μια ενημέρωση του Office που ήταν επισημασμένη ως «κρίσιμη» και που περιλαμβάνεται στο ενημερωτικό δελτίο ασφαλείας MS16-107. Ενώ η ενημέρωση επιδιορθώνει μόνο το Office, η enSilo λέει ότι η Microsoft εργάστηκε και στο παρασκήνιο και για την ενημέρωση της Detours engine.

Οι ερευνητές λένε ότι ενημέρωσαν τη Microsoft για την ευπάθεια, πάνω από έξι μήνες πριν και η Microsoft με τη σειρά της ενημέρωσε όλους -και τους 100+, Ανεξάρτητους Προμηθευτές Λογισμικού, από τους οποίους αγόρασε μια άδεια χρήσης για την Detours engine.

Θεωρητικά, όλες οι εφαρμογές που χρησιμοποιούν την Detours θα πρέπει να έχουν ενσωματώσει την patch-αρισμένη hooking engine και να έχουν κάνει όλες τις απαραίτητες ενημερώσεις. Στην πραγματικότητα, οι περισσότερες εφαρμογές είναι μάλλον ευάλωτες και από ότι φαίνεται θα παραμείνουν έτσι για μήνες, αν όχι για χρόνια.

Η ομάδα της enSilo έχει δημιουργήσει μια εφαρμογή που ονομάζεται FindADetour, την οποία έχουν open-sourced στο GitHub.

Οι χρήστες ενθαρρύνονται να εκκινήσουν διαφορετικές εφαρμογές και στη συνέχεια, να εκτελέσουν την enSilo εφαρμογή. Η FindADetour θα σκανάρει όλες τις διεργασίες που τρέχουν, αναγνωρίζοντας εφαρμογές που χρησιμοποιούν την Detours engine και προσπαθούν να εκμεταλλευτούν την ευπάθεια.

Ο enSilo σαρωτής, στη συνέχεια, απαριθμεί όλες τις ευάλωτες εφαρμογές σε ένα Windows τερματικό εντολών, όπως στην παρακάτω εικόνα:

critical-flaw Microsoft

Πηγή

0 σχόλια :

Δημοσίευση σχολίου