[Temp] Новое слабое место в режиме ядра Windows указывается на будущее направление атаки

Новая ошибка в Windows которая присутствует во всех текущих версиях Windows была опубликована в пятницу Израильским ученым Гил Дабах (Gil Dabah). Ошибка позволяет локальному пользователю вызвать падение системы и появление синего экрана. В принципе, эта ошибка позволяет атакующему запустить код с преимуществами ядра, хотя это выглядит как будто это трудно сделать по причине природы данного недостатка.

Ошибка находится в компоненте режима ядра который называется win32k.sys, который обрабатывает много важных элементов Windows таких как окно управления и 2 D графика. Эта ошибка находится компоненте управляющим системным буфером обмена; она помещает искаженные данные в буфер обмена, система может вызвать искажение экрана или полностью разрушиться. В ранние времена Windows рассматриваемый компонент не запускался в режиме ядра, его определили в этот режим в Windows NT 4, так как это ускоряет режим 2 D графики.

win32k.sys остается в режиме ядра с тех пор, и как результат, как этот недостаток отразился в Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 для x86 и x64, с и без пакетов обновления.

Microsoft знает об этом недостатке но не заявляет когда будет доступна соответствующая заплатка. Вследствие природы данной проблемы был присвоено значение "менее критический" группой безопасности Secunia. Такое значение является результатом отсутствия удаленной эксплуатации и трудностями с использовании данного недостатка для выполнения атакующего кода.

В этом году Microsoft уже выпустила ряд заплаток для исправления похожих ошибок в ядре Windows включая ошибки в компоненте win32k.sys. Компания стремиться присвоить им значение "Важный", снова по причине тех требований что атакующий, будучи в системе может запустить атаку. Исследователь Тавис Орманди (Tavis Ormandy) дошла до того что предложила мысль о том что не проходило несколько дней чтобы в Windows не обнаружился уже известный подобный изъян в работе ядра.

Если данной ошибкой можно воспользоваться так чтобы можно было исполнить случайный код атакующий с правами рядового пользователя может повысить свои привилегии. Это прямо не увеличивает опасность данной ошибки - для этого все еще надо войти в систему - но это не делает ошибку более удобной, поскольку она позволяет атакующему взломать систему также как это делается в веб-браузерах, таких как Chrome и Internet Explorer.

Именно так двойной способ - ошибка в браузере позволяющая запустить вредоносный код, связан с преимуществами в ошибке в режиме ядра - это широко распространено в iPhone и других устройствах Apple. Это преимущество необходимо потому что в iPhone программы запускаются в изолированной программной среде, просто атаковать Safari недостаточно для того чтобы произвести необходимые изменения.

Хотя Internet Explorer 7 и 8 и Chrome объединяют такой вид изолированной среды в Windows Vista и Windows 7, в типовая атака в системе Windows атакующий не пытается использовать ошибки в ядре для расширения своих привилегий. Широкое распространение использования Windows XP и работа пользователей с правами администратора ухудшает борьбу с атаками. Поскольку наконец-то Windows XP начинает вымирать и изолированная программная среда становится все более распространена, мы можем видеть что больше внимания обращено на использование таких ошибок в ядре так как мы уже делаем на закрытых платформах для сотовых телефонов.


Источник: http://arstechnica.com/security/news/2010/08/new-windows-kernel-mode-flaw-points-to-future-attack-vectors.ars
Перевод: mik2000