Microsoft: За уязвимости должны краснеть конкуренты

Корпорация Microsoft, выпустившая в рамках последнего обновления безопасности рекордное для себя количество «заплаток», стремится поломать стереотип «дырявости» своих продуктов. Общедоступная статистика по числу уязвимостей в продуктах конкурентов говорит не в их пользу, отмечают в российском представительстве софтверного гиганта.

13 октября Microsoft выпустила 13 обновлений безопасности для своих продуктов – рекордное количество в масштабах одного месяца. Обновления закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще официально не поступившую в продажу), а также в Internet Explorer (IE), Office, SQL Server и других продуктах корпорации. 34 «заплатки» - также рекордное число для Microsoft, 6 лет назад (в октябре 2003 г.) перешедшей на график ежемесячного выпуска обновлений безопасности. Предыдущий рекорд – 28 «заплаток» за месяц – был поставлен в декабре 2008 г.

8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как «критические». Остальные 5 бюллетеней имеют статус «важных», как и 9 описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный» уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже были написаны эксплойты.

Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows SMB 2 (Server Message Block), сетевом протоколе распределенной файловой системы, разработанном корпорацией и поддерживаемом многими другими ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре» в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и предварительных версиях Windows 7, но не в ее финальной версии, которая официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа.

За 10 месяцев 2009 г. Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за весь 2008 г. – свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые полные два года ежемесячных обновлений безопасности. Всего же за последние 6 лет Microsoft, если судить по архиву бюллетеней, выпустила около 400 обновлений безопасности, где описаны около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230 бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих удаленно устанавливать полный контроль над системой.

«Для установки такого
нового рекорда у компании Microsoft есть две основные причины: это рост
киберкриминальной активности и рост количества написанного кода», - считает Сергей Голованов, ведущий вирусный
аналитик «Лаборатории Касперского». Говоря о влиянии роста киберприступности на
увеличение числа исправлений в коде разработчиков, он приводит такой пример: две
из восьми критических уязвимостей, исправленных в текущем обновлении Microsoft, были обнаружены
сторонними лицами и опубликованы на различных сайтах, которые регулярно
посещаются злоумышленниками для поиска новых способов проведения своих атак. В
предыдущем месяце таких публикаций вообще не было, а всего за этот год их было
три.

Владимир Мамыкин, директор по информационной безопасности Microsoft в России, в свою очередь, считает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей,  из них за 2009 г. – 60».

При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403.

«Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда».

Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились».

То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты.

«В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.

«Время между нахождением «дыры», появлением эксплойта и выпуском заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших эпидемий червяков, - отмечает Илья Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать про Adobe и Oracle». В то же время, не стоит связывать увеличение числа уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее, тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что квалифицированных людей, которые могут делать эту работу, очень немного, и рост киберпреступности, фактически, никак на эту цифру не влияет», - говорит Рабинович.

Аналогичного мнения придерживается Алексей Гребенюк,
независимый вирусный аналитик, ранее директор Центра технической
поддержки «Доктор Веб». «Количество обнаруженных уязвимостей связано
только с качеством разработок и работы специализированных лабораторий
по поиску этих уязвимостей, а вот сокращение времени реакции - с ростом
киберпреступности, - говорит он. - Это попытка вендора защитить
клиента, что является, безусловно, правильным». Гребенюк отмечает, что,
по его наблюдениям, время реакции вендоров за последние 1,5 года явно
имеет тенденцию к уменьшению. 

Сергей Голованов из «ЛК»,
напротив, отмечает, что, в общем и целом, время реакции разработчиков на
публикации уязвимостей значительно не сокращается. «Применительно к Microsoft, оно так и остаётся
около полутора месяцев, - говорит он. - Что касается других вендоров, то там
ситуация зависит от компании, её опыта работы с подобными проблемами, позиций
на рынке, плюс выстроенных процессов на реакцию о публикации уязвимостей».


Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры перехватывают 2FA с помощью хитроумной переадресации звонков

Специалисты по безопасности обнаружили, что злоумышленники отправляют жертвам вредоносную ссылку, которая автоматически настраивает переадресацию вызовов на нужный телефонный номер.

В свою очередь, как объясняют в 404 Media, это позволяет злоумышленникам перехватывать звонки и извлекать из них коды двухфакторной аутентификации.

Хакеры обманным путем заставляют своих жертв посредством нажатия на мошенническую ссылку с префиксом «tel://» набрать строго определенный номер телефона, указанный после слеша. Телекоммуникационные компании могли бы смягчить последствия атак, внедрив больше механизмов аутентификации.

Исследователь в области безопасности Джеймисон Винсенти О'Рейли отметил, что данные атаки представляют собой серьезную проблему, так как от жертвы требуется минимальное участие. После клика по ссылке и нажатия кнопки телефон самостоятельно набирает номер, а далее пользователю сообщается о переадресации звонков.

Самое интересное, что не срабатывает дополнительный механизм аутентификации, который бы позволил убедиться, что пользователь действительно хочет настроить переадресацию вызовов.

 

Специалист О'Рейли показал, как с помощью этой техники можно перехватить код двухфакторной аутентификации от Gmail. Этот и другие сервисы могут стать мишенью для атаки, поскольку иногда они передают такие коды голосом, а не просто текстом.

Представитель Google в своём сообщении отметил, что ограничение на использование голосовой верификации распространяется только на номера, указанные пользователем. Компания рекомендует проявлять осторожность в отношении неизвестных сообщений и ссылок от незнакомых пользователей. Для дополнительной защиты Google предлагает использовать одноразовые пароли, генерируемые приложениями, пуш-уведомления на телефоны, а также ключи доступа и токены.

В следующем видео О'Рейли рассказывает, что злоумышленник может позвонить жертве, представившись агентом службы поддержки или сотрудником телекоммуникационной компании, при этом подделав номер. Для перехвата телефонных звонков жертвы, хакер отправляет специально составленное СМС-сообщение с просьбой перезвонить.

 

В качестве дополнительных рекомендаций по предотвращению атак исследователь предлагает ввести ПИН-код, который был бы известен только пользователю, для настройки переадресации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru