Как только прошлым летом Microsoft исправила ошибку использования освобожденной памяти в Internet Explorer, ИБ-исследователи и хакеры были вынуждены отправиться на поиски новых багов повреждения памяти в браузере Microsoft.

Три эксперта, участвующие в программе HP Zero Day Initiative (ZDI), одними из первых заметили, что проверенные эксплойты больше не действуют, и выяснили, что Microsoft втихую залатала старые баги в IE. К октябрю исследователи Брайан Горенк (Brian Gorenc), Абдул-Азиз Харири (AbdulAziz Hariri) и Саймон Цукербраун (Simon Zuckerbraun) разработали новые атаки против функций Isolated Heap и MemoryProtection, призванных упрочить защиту IE. Усилия экспертов не пропали даром: группа получила вознаграждение в размере $125 тыс. в рамках программ Microsoft Mitigation Bypass Bounty и Blue Hat Bonus for Defense.

«Новости от Microsoft нас очень обрадовали, — рассказал Горенк, который возглавляет исследовательскую группу в ZDI. — Мы потратили очень много времени и усилий на наше исследование и гордимся тем, что в Microsoft результаты нашей работы нашли полезными».

Часть этой впечатляющей премии ($25 тыс.) была присуждена исследователям за предоставление метода защиты от описанной атаки. Вознаграждение, согласно пожеланию охотников за багами, будет полностью передано Техасскому механико-сельскохозяйственному университету, университету Concordia и образовательному проекту Khan Academy. Эти учреждения уделяют особое внимание изучению наук естественно-математического цикла и, как говорят, имеют непосредственное отношение к троице из ZDI.

«HP Security Research спонсирует учебные заведения и организации, углубленно изучающие естественно-научные дисциплины. Поэтому мы решили пожертвовать нашу премию трем выбранным нами образовательным учреждениям, — признался Горенк. — Таким образом мы выплачиваем им наш долг. Надеемся, что наше исследование пойдет на пользу ИБ-отрасли, поможет повысить надежность Internet Explorer и будет способствовать дальнейшему развитию образовательных организаций».

По словам Горенка, Microsoft пока не успела исправить выявленные изъяны, поэтому подробности касательно обнаруженных багов не разглашаются. В разговоре с автором статьи Горенк, правда, обмолвился, что в рамках разработанной исследователями атаки функцию MemoryProtect можно использовать для обхода ASLR.

«Мы использовали одну функцию предотвращения угроз в IE для того, чтобы «обмануть» вторую, — отметил Горенк. — Это уже делали и до нас, но в нашем случае получается любопытная вещь: все исправления были разработаны Microsoft с тем, чтобы усложнить эксплуатацию бага, связанного с использованием освобожденной памяти. Мы же сделали так, что применение одного из исправлений ослабляет работу другой функции безопасности, специально разработанной для усиления защиты IE. Интересный парадокс».

Баги, открывающие возможность использования освобожденной памяти, отобрали у уязвимостей переполнения буфера пальму первенства среди багов, связанных с повреждением памяти. Уязвимость использования памяти после освобождения возникает при освобождении одного из указателей на буфер, позволяя атакующему использовать этот указатель в отношении другой области памяти, куда уже внедрен вредоносный код. Microsoft, стоит признать, вкладывает и время, и деньги в латание уязвимостей, связанных с повреждением памяти, реализуя исправления не только через патчи Internet Explorer, но и через тулкит Enhanced Mitigation Experience Toolkit (EMET). В большинстве своем методы обхода средств безопасности и атаки на них известны узкому кругу исследователей, но в некоторых случаях при проведении направленной атаки учитывать возможность использования определенных техник защиты. Например, в ходе APT-атаки против оборонных и правительственных организаций, получившей название «Операция «Снежный человек» (Snowman), хакеры сначала сканировали атакуемую систему на предмет использования EMET и прерывали атаку при обнаружении тулкита на машине.

Internet Explorer всегда был легкой добычей для хакеров: он вечно пестрил багами, связанными с повреждением памяти, ввиду чего Microsoft выпускала накопительные обновления браузера практически ежемесячно.

«Площадь атаки IE позволяет путем различных манипуляций получить возможность исполнения кода в браузере», — уточнил Горенк.

В рамках инициативы ZDI, по словам Горенка, большая часть средств была потрачена на исследование возможностей применения багов использования освобожденной памяти. ZDI — это программа Bug Bounty, которая предписывает вознаграждение участникам, раскрывающим подробности об обнаруженных уязвимостях в соответствии с установленными правилами. В первоочередном порядке информация о багах предоставляется клиентам HP, а затем самим вендорам, имеющим уязвимые продукты. За девять лет существования программы ZDI на покупку информации об уязвимостях было потрачено около $12 млн.

Категории: Уязвимости, Хакеры