Хотя TrueCrypt более не поддерживается и остался лишь в памяти пользователей, это не остановило хакеров и исследователей, которые до сих пор изучают открытый исходный код этой криптоутилиты.

Исследователи из Google Project Zero обнаружили в TrueCrypt пару уязвимостей повышения привилегий, которые были устранены в VeraCrypt — одной из немногих оставшихся утилит для Windows, предназначенных для шифрования данных. VeraCrypt — один из двух проектов, основанных на последней сборке TrueCrypt. Вторым подобным проектом является CipherShed.

Исследователь Джеймс Форшо (James Forshaw) до сих пор не обнародовал подробностей обнаруженных уязвимостей, однако в своем Twitter упомянул, что эти уязвимости не являются умышленно привнесенным бэкдором и, скорее всего, были привнесены из-за небрежного аудита кодовой базы.

В прошлом году разработчики TrueCrypt прекратили разработку новых версий и закрыли проект. Незадолго до этого, в 2013 году, по всему миру забили тревогу, ведь, согласно информации, раскрытой Эдвардом Сноуденом, получалось, что правительство и спецслужбы активно используют бэкдоры, встроенные во многие программные продукты. NCC Group Cryptography Services провела аудит TrueCrypt, и, если не считать некоторых претензий к качеству кода и небольших проблем с безопасностью, приложение было признано надежным.

Обе уязвимости были классифицированы как критические, однако одна из них, CVE-2015-7358, является более опасной, заявил Мунир Идрасси (Mounir Idrassi) из VeraCrypt. На момент публикации представители Google не ответили на просьбу Threatpost прокомментировать ситуацию.

По свидетельству Идрасси, уязвимость вызвана тем, что драйвер TrueCrypt некорректно валидирует буквенные ссылки, используемые при монтировании тома. Атакующий может воспользоваться этой уязвимостью, чтобы запущенный процесс получил полный набор администраторских привилегий.

«Это критическая уязвимость, ведь любой процесс может сделать вызов к драйверу, а значит, любой процесс может получить администраторские привилегии, — заявил эксперт. — К примеру, вредоносное ПО может получить полный доступ, просто будучи запущено в контексте обычного пользователя. Уязвимость также может быть использована, чтобы производить атаки на серверы, причем даже в тех случаях, когда TrueCrypt установлен в системе, но ни один том не был подключен. Этого будет достаточно, чтобы скомпрометировать учетную запись пользователя на сервере и получить удаленный доступ, а затем воспользоваться уязвимостью, чтобы получить права администратора и возможность исполнять вредоносные действия на сервере».

Вторая уязвимость, CVE-2015-7359, вызвана тем, что драйвер TrueCrypt не валидирует контекст безопасности пользователя, сделавшего вызов к драйверу, заявил Идрасси. Это позволяет атакующему выдать себя за другого пользователя и таким образом получить возможность демонтировать VeraCrypt-том или изменить настройки приложения.

«Эта уязвимость не столь критична, как первая. Ее эксплойт возможен только в тех случаях, когда машину используют несколько пользователей (например, сервер), он позволяет получить список всех томов, созданных другими пользователями, демонтировать их и узнать их свойства (расположение файлов, используемые разделы и алгоритмы, их размер и т.д.), — заявил Идрасси. — Подобный эксплойт может быть использован для подготовки целевой атаки либо же для того, чтобы демонтировать тома, используемые системой, и нарушить ее работоспособность».

Эксперт заявил, что согласен с Форшо в том, что уязвимости не были преднамеренно внесены в кодовую базу, скорее всего, об этих багах уже давно было известно злоумышленникам.

«Подобные уязвимости присутствуют во многих программах Windows, и вызваны они недостаточной валидацией параметров в режиме ядра, — заявил Идрасси. — Для экспертов, работающих с ядром Windows, обнаружить такую уязвимость не составит труда, особенно если принять во внимание тот факт, что в последние годы подобные баги повышения привилегий крайне распространены».

Категории: Главное, Уязвимости