Nowy atak na Windows przez USB, czyli do trzech razy sztuka

dodał 12 sierpnia 2015 o 18:05 w kategorii Błędy  z tagami:
Nowy atak na Windows przez USB, czyli do trzech razy sztuka

Gdy połączone siły Ameryki i Izraela atakowały irańskie instalacje nuklearne, podstawową metodą infekcji wybranych komputerów był błąd typu 0day w obsłudze plików .LNK na dysku USB. Błąd został już dawno załatany, ale właśnie pojawił się nowy.

Jak zainstalować swój kod na komputerze, do którego nie ma dostępu sieciowego? Z pomocą przychodzą eksploity na USB – wystarczy sprowokować ofiarę do podłączenia napędu lub dostać się wystarczająco blisko komputera, by na chwilę podłączyć swój dysk. Microsoft informuje, że właśnie załatał kolejny błąd pozwalający na instalację oprogramowania bezpośrednio po podłączeniu dysku USB. Co więcej, błąd ten jest wykorzystywany w praktyce.

Jak w Stuxnecie

Stuxnet, do tej pory uważany za jedno z najniebezpieczniejszych kiedykolwiek stworzonych narzędzi cyberdestrukcji, wykorzystywał do swego działania aż 5 błędów typu 0day. Jednym z nich był problem w przetwarzaniu ikon w plikach .LNK, pozwalający na wykonanie dowolnego kodu poprzez samo podłączenie odpowiednio spreparowanego dysku USB. Błąd ten jest już dawno załatany (choć na dwa razy), jednak dzisiaj Microsoft poinformował, że stwierdzono używanie nowego błędu o tym samym skutku (CVE-2015-1769). Jeśli macie Windowsa i jeszcze nie zainstalowaliście wtorkowych aktualizacji (w tym naprawiających krytyczne błędy w Office, IE/Edge i innych komponentach), zróbcie to teraz a potem możecie wrócić do lektury.

Tym razem problem nie leży w przetwarzaniu ikon, a w funkcji Mount Manager. Jego wykorzystanie pozwala na podniesienie uprawnień oraz zapisanie na dysku i wykonanie dowolnego programu. W przeciwieństwie do błędu ze Stuxnetu, który był określony jako krytyczny, ten został sklasyfikowany jako ważny, a zatem o jedną kategorię niżej. Wynika to z faktu, że starszy błąd można było wywołać również zdalnie, a nowy da się wykorzystać tylko dzięki fizycznej obecności w pobliżu infekowanej maszyny. Błąd jest dosyć uniwersalny – występuje we wszystkich wspieranych wersjach Windows (w niewspieranych prawdopodobnie też).

Na szczęście dosyć łatwo można stwierdzić, czy dany komputer padł ofiarą takiego ataku. Jak informuje Microsoft, wystarczy poszukać w logach Event (ID:100) generowanego przez MountMgr lub Microsoft-Windows-MountMgr. Co prawda może się zdarzyć, że taki wpis nie oznacza ataku, ale prawdopodobieństwo, że był to niewinny przypadek, jest znikome.

Przykładowy wpis w logach

Przykładowy wpis w logach

Do trzech razy sztuka

W tym ataku naszym zdaniem najciekawszym problemem jest jego skuteczność. O ile wydaje się, że kod eksploita może być stabilny i wykonywać się za każdym razem, to pamiętajmy, że najpierw musi dojść do prawidłowego podłączenia dysku USB. Czy zatem agenci infekujący komputery wroga są specjalnie szkoleni, by włożyć napęd USB prawidłowo już za pierwszym razem? Jak wygląda takie szkolenie i czy nie warto go przeprowadzić dla całej populacji?

Superpozycja USB

Superpozycja USB