Уязвимости в Microsoft Silverlight не столь привлекательны для хакеров, как, к примеру, баги в Adobe Flash, однако их тоже нельзя недооценивать и тем более игнорировать.

В минувший вторник в этой программной платформе была закрыта критическая брешь, которая, по данным GReAT, глобального исследовательского центра «Лаборатории Касперского», уже используется в отдельных целевых атаках (в бюллетене Microsoft таких сведений нет). Эксперты предупреждают, что рост числа эксплойтов данной уязвимости — всего лишь дело времени.

«Это большое событие, уязвимости в Silverlight объявляются не столь часто, — комментирует Брайан Бартоломью, исследователь из «Лаборатории Касперского». — Эксплуатация бреши нулевого дня — задача по большей части техническая, однако, когда концепция попадает в руки знатоков своего дела, способных произвести обратный инжиниринг патча, оказывается, что создать такое оружие вовсе не трудно».

Это означает, что эксплойт, используемый в целевых атаках технически подкованных умельцев, в скором времени будет растиражирован в эксплойт-паках и станет доступным для менее искушенных киберзлоумышленников.

Отчет о данном баге в Silverlight представили в Microsoft эксперты «Лаборатории» Костин Раю (Costin Raiu) и Антон Иванов, предварительно изучившие данные, раскрытые в ходе взлома Hacking Team. Стимулом к исследованию явилось письмо российского хакера Виталия Топорова, адресованное Hacking Team и опубликованное на Ars Technica в минувшем июле. «Лаборанты» решили проверить, действительно ли в Silverlight есть 0-day как минимум двухлетней давности, которую продавал Топоров и которая, по его утверждению, может просуществовать еще несколько лет без обнаружения.

Уязвимости в Silverlight, как и баги во Flash, позволяют злоумышленникам проводить атаки независимо от используемых платформ и веб-браузеров. На настоящий момент новый эксплойт для Silverlight, по словам Бартоломью, используется лишь против пользователей Windows, однако его можно приспособить для атак на Mac OS X и другие платформы. В ходе наблюдаемых GReAT атак вредоносное Silverlight-приложение доставлялось на уязвимый сервер посредством целевой фишинговой рассылки или drive-by-загрузки.

Бартоломью также поведал журналистам Threatpost, что «лаборантам» удалось обнаружить в базе портала Packet Storm давнюю уязвимость в Silverlight и PoC-эксплойт, представленные Топоровым. Архив предлагался для скачивания и оказался настолько содержательным, что исследователи смогли написать YARA-правило для DLL, реализующей эксплойт.

Это правило было спущено на компьютеры клиентов ИБ-компании, но за несколько месяцев ни разу не отработало. Ситуация изменилась 25 ноября, когда один из generic-вердиктов для эксплойта 2013 года спровоцировал предупреждение на машине пользователя. Данный файл был скомпилирован 21 июля, менее чем через две недели после оглашения взлома Hacking Team и публикации дампа украденных данных. Уязвимость нулевого дня в Silverlight была проанализирована и приватно раскрыта Microsoft, которая поспешила выпустить патч. Технический отчет об этой бреши был опубликован в блоге «Лаборатории» в минувшую среду.

Эксплуатация данной уязвимости позволяет атакующему закрепиться на скомпрометированной машине с целью загрузки дополнительных зловредов, кражи конфиденциальных данных или дальнейшего проникновения в сеть. Согласно Microsoft, ей подвержены Silverlight 5 и Silverlight 5 Developer Runtime в сборках до 5.1.41212.0 включительно.

Из бюллетеня MS16-006 разработчика:

«Уязвимость удаленного исполнения кода проявляется, когда Microsoft Silverlight расшифровывает строки с помощью вредоносного декодера, способного возвращать отрицательные смещения, которые заставляют Silverlight заменять ненадежные заголовки объекта контентом, заданным атакующим. При просмотре сайтов атакующий в результате успешного эксплойта сможет получить те же права, которыми обладает текущий пользователь».

Пока неясно, тот же это 0-day, который пытался продать Топоров и который был обнаружен среди опубликованных данных Hacking Team, или новый, написанный после утечки. Бартоломью, например, усматривает сходство между обоими образцами, в которых видна рука Топорова.

«Мало кто пишет 0-day для Silverlight, что значительно сужает круг поисков, — отмечает исследователь. — Кроме того, в его старом эксплойте, датированном 2013 годом, присутствуют несколько строк ошибки, к которым мы привязались, посчитав их характерной особенностью. Они и легли в основу нашего правила».

«Этот эксплойт содержит те же строки ошибки и идентификатор NET-приложения, что и предыдущий, — продолжает Бартоломью. — Каждый раз при создании нового приложения на .NET ему присваивается новый ID. У этого оказался прежний. Все это дополнительные признаки, указывающие на авторство».

В ответном письме Топорову представители Hacking Team изъявили готовность заплатить $20 в виде аванса за 0-day. В прайс-листе, опубликованном на сайте Zerodium, Silverlight не числится, однако он дает представление о современных расценках. Так, за Flash-бреши удаленного выполнения кода Zerodium предлагает где-то около $80 тыс., хотя реальные цены могут быть выше.

«0-day в Silverlight имеют большую ценность, — полагает Бартоломью, — из-за их потенциальных последствий и широких возможностей использования».

Категории: Аналитика, Уязвимости