Несмотря на шумиху, поднятую вокруг Badlock, об этой уязвимости ничего так толком и не известно, кроме того, что она грозит кучей неприятностей, содержится, видимо, в сетевом протоколе SMB, поддерживаемом Windows, и уже обзавелась своим логотипом и сайтом. Тем не менее за две недели, оставшиеся до очередного «вторника патчей» Microsoft, можно еще успеть и поспорить, и посетовать, и погадать, что появится скорее: патч или публичный эксплойт.

Этот баг обнаружил Стефан Мецмахер (Stefan Metzmacher), сотрудник немецкой консалтинговой компании SerNet и один из разработчиков Samba, open-source-реализации SMB. Эксперт полагает, что источник уязвимости — сам SMB; он также выразил уверенность в том, что и Samba, и Windows будут пропатчены.

Баг-хантеры, плохие и хорошие, уже наверняка ведут раскопки; некоторые из них обнаружили, как им кажется, верную подсказку в записях Мецмахера на git.samba.org. Мецмахер является автором файла lock.c, отвечающего за обработку запросов клиента SMB2 на блокировку; в одну из своих записей эксперт включил такой комментарий: «/* очень странно — в спецификации, по сути, сказано, что нужно врать о длине! */».

Подтверждений тому, что в этом и кроется уязвимость, нет, однако один из исследователей пояснил Threatpost, что, судя по этому комментарию, в протоколе есть точки, в которых размер строки будет представлен неправильно. Это может повлечь серьезные ошибки, так как при выделении памяти под буфер разработчик исходит из этого значения, и, если исходный размер неверен, результатом может быть переполнение буфера и исполнение кода.

Достаточно ли таких данных для создания эксплойта, покажет ближайшее будущее. «Умельцу этой информации может хватить, чтобы написать эксплойт, — уверен Иоганнес Улльрих (Johannes Ullrich), директор ISC SANS. — А мне, как защитнику, кое-что непонятно. К примеру, было бы нелишним знать, касается этот баг лишь серверов или клиентов тоже. Какие сетевые порты и какие версии SMB уязвимы? Некоторые детали были бы полезны для защитников, но в бюллетене их нет».

На сайте, посвященном Badlock, такая информация тоже отсутствует. Здесь лишь сказано, что пропатчены будут Samba 4.4, 4.3 и 4.2, а также что Samba 4.1 снята с поддержки в связи с выходом версии 4.4.0 (она появилась 22 марта).

Исследователи из SANS тем временем предупреждают, что администраторам UNIX следует обратить внимание на детали, когда они станут известны, и рекомендуют просканировать среды исполнения для серверов с включенным SMB. Ожидается, что UNIX-реализации тоже получат патч в районе 12 апреля.

Тем временем в ходе дискуссии был поднят интересный вопрос о возможном опрощении больших проблем. Если это так, то делается ли это умышленно, с помощью своекорыстных предуведомлений, специализированных сайтов и новых логотипов.

Из заявления Badlock.org:

«Основной целью данного заявления является предупреждение, с тем чтобы все приготовились к патчингу своих систем в кратчайшие сроки и все административные ресурсы были в наличии в день выпуска патча. Вендоры и дистрибьюторы Samba будут так или иначе проинформированы до выпуска патча, как того требует принятый регламент.

Взвесив все за и против в отношении предварительных уведомлений и строжайшей секретности, мы решили заранее опубликовать предупреждение, чтобы дать всем шанс подготовиться к установке патчей, как только они станут доступными. Опубликованный патч указывает векторы атаки, и сразу же в дикой природе появляются эксплойты».

Microsoft предпочла не принимать участие в обсуждении. Представитель компании заявил Threatpost: «К сожалению, Microsoft в данном случае сказать нечего». Исполнительный директор SerNet Иоганнес Локсен (Johannes Loxen) в ответном письме Threatpost отказался добавить что-либо помимо информации, опубликованной на badlock.org. Тем не менее в Twitter он признал, что предварительное уведомление — это пиар-ход, призванный привлечь внимание к его компании; впрочем, эти твиты были впоследствии удалены.

Дэн Каминский (Dan Kaminsky), прославившийся открытием DNS-уязвимости в 2008 году и беспрецедентной на тот момент координацией работы над патчем, склонен считать, что шумиха в данном случае неоправданна. В своем комментарии Wired он заявил, что такой способ раскрытия бесполезен для сисадминов: «К какому действию их призывают, кроме как проявить внимание?»

Эндрю Стормз (Andrew Storms), вице-президент New Context по ИБ-сервису, напомнил, насколько в свое время встревожило некоторых решение Microsoft отказаться от предуведомлений о плановых апдейтах (ANS), оставив их лишь тем, кто платит за услуги техподдержки. «Я всегда был сторонником предварительных уведомлений, — признался Стормз. — Я также оказался в числе тех, кого расстроило закрытие ANS-сервиса Microsoft. Эти несколько дней ожидания дают менеджерам возможность подготовить ресурсы. Касалось ли это людей, серверов или тест-систем, я всегда утверждал, что небольшое упреждение всегда лучше, чем огромный сюрприз в виде нарушения работы».

Стормзу вторит Улльрих из SANS, отмечая, что предуведомления позволяют составить реестр уязвимых систем, подготовить контрмеры и альтернативные конфигурации; все это ускоряет процесс установки патчей. «Брендовые» уязвимости патчатся быстрее и в большем количестве организаций, если им уделяется больше внимания (я бы рад был подкрепить это цифрами, но пока не встречал исследований на эту тему), — заявил эксперт. — С другой стороны, «бренды» можно приберечь для самых серьезных уязвимостей, чтобы было понятно, дотягивает брешь до такого уровня или нет».

Категории: Главное, Уязвимости