Сокрушительная атака

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-010-6

Ошибки, связанные с переполнением буфера, совершаются программистами сплошь и рядом. Целью хакера может стать любое приложение от интернет-браузеров и почтовых клиентов и до средств обнаружения атак и антивирусов!

О дырах в ослике IE ты, наверное, наслышан. Обычно ссылки на уязвимости в "осле" именуются как "Множественные уязвимости в Microsoft Internet Explorer" и встречаются на каждом шагу, поэтому рассказывать о них даже неинтересно.

Намного интереснее взглянуть на баги, находящиеся в программном обеспечении, призванном защищать наши компьютеры, то есть системы обнаружения атак, межсетевые экраны, антиспамы, антивирусы и другие средства блокировки вредоносного ПО.

Так, недавно была обнаружена серьезная уязвимость в антивирусах компании Symantec. Ошибка в обработке upx-файлов способна привести к переполнению буфера, а как следствие к этому, сканер вместо удаления вируса выполняет его код. В "группу риска" входят такие продукты, как SystemWorks 2004 и Symantec Mail Security for Exchange. Опасность усугубляется тем, что ряд почтовых серверов может использовать уязвимые библиотеки, таким образом, атаке подвержены не только машины конечных пользователей, но и критичные узлы, работающие под Microsoft Windows, Mac OS X, Linux, Solaris и AIX. Группа разработчиков выпустила патч, распространяющийся через LiveUpdate.

Небезызвестный файрвол Microsoft Internet Security and Acceleration Server (MS ISA Server), как оказалось, не менее подвержен атакам. Уязвимость присутствует в фильтре протокола телефонии H.323 и позволяет злоумышленнику произвести переполнение буфера в компоненте-сервисе ISA, реализующем функциональность межсетевого экрана, – Microsoft Firewall Service. Это может привести к выполнению злоумышленником произвольного кода в контексте безопасности сервиса, что дает практически полный контроль над атакованной системой. Основная беда в том, что при установке программного обеспечения MS ISA Server в режиме межсетевого экрана или в интегрированном режиме фильтр H.323 включен по умолчанию. Поэтому администраторы систем, у которых данное ПО работает в режиме кеша, могут спать спокойно: их системы не подвержены данной уязвимости. Microsoft выпустила бюллетень по безопасности MS04-001, который содержит сведения о соответствующем исправлении, в том числе информацию о файлах и вариантах развертывания.

*nix-системы также не являются исключением, и ошибки, связанные с переполнением буфера, встречаются в продуктах, разработанных для данных систем, очень часто. Недавно в очередной раз была обнаружена уязвимость в стандартной библиотеке libc, входящей в состав FreeBSD, на этот раз в реализации функции realpath, входящей в библиотеку libc. Ошибка связана с определением длины строки и, следовательно, приводит к переполнению буфера. Возможные последствия (DoS-атаки, удаленное выполнение кода, повышение уровня доступа) зависят от конкретного приложения, использующего функцию realpath и позиции буфера в стеке. Уязвимости подвержены все версии FreeBSD вплоть до 4.8-RELEASE и 5.0-RELEASE.