Новая уязвимость в ядре ОС Windows может стать причиной хакерских атак

В пятницу израильский исследователь Гил Дабах (Gil Dabah), который известен также под ником "arkon", обнародовал информацию о том, что все поддерживаемые сейчас версии ОС Windows имеют уязвимость, которая может использоваться хакерами для принудительного аварийного завершения работы компьютера. Иными словами, при работе компьютер может зависать, или отображать "синий экран смерти" – BSOD. В принципе, эта уязвимость также может позволить хакерам запустить вредоносный код на уровне ядра на заражённой машине, однако на практике это будет осуществить весьма и весьма не просто.

Баг был обнаружен в компоненте ядра ОС, в файле win32k.sys, который отвечает за большое количество функционала ОС Windows, такого, как управление окнами или 2D графику. Данная специфическая уязвимость находится в компоненте, отвечающего за системный буфер обмена; если в буфер обмена поместить специальный вредоносный код, то можно частично навредить операционной системе или же полностью вывести её из строя. Раньше, когда Windows только развивалась, данный уязвимый компонент не работал в ней на уровне ядра. Он был помещён туда с выходом Windows NT 4.0 для того, чтобы сделать обработку 2D графики ещё более быстрой.

С тех пор модуль Win32k.sys оставался в ядре каждой последующей версии Windows, в результате чего сейчас выявленной уязвимости подвержены ОС Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, и Windows Server 2008 R2 – обе архитектуры, x86 и x64, а также в независимости от наличия или отсутствия установленных сервис паков (SP).

Представители корпорации Microsoft знают о данной уязвимости, однако до сих пор от софтверного гиганта не поступила информация о том, когда можно ждать специального патча, устраняющего дыру в собственном программном обеспечении Редмонда. Группа безопасности компании Secunia, принимая во внимание класс проблемы, оценила выявленную уязвимость как "не критичную". Данная оценка основана на тех фактах, что уязвимостью нельзя воспользоваться удалённо, а также в связи с тем, что использовать выявленный баг для выполнения вредоносного программного кода сможет только весьма продвинутый хакер.

Итак, в этом году Microsoft выпустила уже несколько патчей, устраняющих схожие уязвимости в ядре ОС Windows, а также в компоненте win32k.sys. Корпорация оценила все эти угрозы как "важные", так как злоумышленнику по-прежнему необходима авторизация, чтобы воспользоваться хотя бы одной из них. Тем временем исследователь Тевис Орманди (Tavis Ormandy) сделал кричащее заключение, что в этом году ОС Windows не протянула и нескольких дней без опубликованного факта об очередной незакрытой уязвимости в системном ядре.

Если с помощью этой уязвимости злоумышленник может обеспечить выполнение произвольного кода на компьютере, то, даже имея доступ к обычной учётной записи, он будет способен повысить её до уровня администратора системы. Это напрямую не увеличивает риск выявленной уязвимости – злоумышленнику всё ещё нужно проходить процесс авторизации пользователя – но этот факт делает данную уязвимость более полезной для преступника, так как позволяет обойти модель защиты известную как "песочница", которую используют веб-браузеры Internet Explorer и Chrome. Это, в свою очередь, увеличивает риск использования данных браузеров.

Данный случай напоминает технологию "двойного приёма", которую часто используют с продукцией компании Apple – iPhone и другими устройствами – когда вследствие уязвимости в браузере можно удалённо запустить вредоносный программный код в сочетании с использованием уязвимости ядра ОС.

Несмотря на то, что седьмая и восьмая версии браузера Internet Explorer, а также браузер Chrome используют модель песочницы в качестве защиты в среде ОС Windows Vista и Windows 7, типичные атаки на пользователей Windows не используют уязвимости в системном ядре для повышения привилегий. Зачем злоумышленникам проделывать такие сложные манипуляции, когда доля пользователей Windows XP является всё ещё доминирующей в мире, и большинство пользователей этой ОС работает с правами администратора – это намного более лёгкая "добыча" для любого хакера. Однако в последнее время стала наблюдаться тенденция, когда число пользователей Windows XP с каждым месяцем уменьшается, вследствие чего вскоре хакерами будет уделяться больше внимания таким уязвимостям, как недавно обнаружена в компоненте win32k.sys.