Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript затрагивает опасная форма уязвимости, которая может привести к успешной атаке вида ReDoS (regular expression denial of service). Злоумышленник может проэксплуатировать уязвимость, посылая большие и сложные фрагменты текста на инпут веб-сервера или приложения на основе JavaScript.

Если серверный компонент или библиотека приложения специально не предназначены для обработки различных исключительных ситуаций, действия атакующего могут привести к блокировке всего приложения или сервера за считанные минуты.

Известно, что у различных языков программирования и технологий веб-серверов есть схожие проблемы с операциями сопоставления шаблонов, что подвергает их опасности атаки ReDoS. Однако в случае с JavaScript все усугубляется из-за однопоточной модели реализации большинства серверов JavaScript, где каждый запрос обрабатывает тот же поток.

Если злоумышленник проведет атаку ReDoS, она «положит» весь сервер, а не только одну конкретную операцию. Интересно, что впервые подобные схемы ReDoS-атак были описаны еще в далеком 2012 году.

Проведенный в прошлом году исследования показали, что 5 % всех уязвимостей, обнаруженных в библиотеках и приложениях Node.js, были связаны с ReDoS.

Сейчас же эксперты считают, что атаки ReDoS набирают популярность, так эти уязвимости игнорировались на протяжении долгого времени. Кристиан-Александру Стайцу и Майкл Прадель из Дармштадтского технического университета в Германии сообщили об обнаружении 25 ранее неизвестных уязвимостей в популярных модулях Node.js.

Эксперты опубликовали список этих модулей и брешей в них:

Исследователи полагают, что злоумышленник может создать специальные эксплойты для атаки сайтов с помощью любой из этих 25 библиотек.

Эксперты проверили 2 846 популярных сайта, из которых 339 (12 %) оказались уязвимы хотя бы перед одной ReDoS-уязвимостью.

Стайцу и Прадель опубликовали POC-код, доказывающий наличие проблемы, на GitHub.

Малоизвестная функция Windows защищает от вредоносных драйверов

В Windows уже давно есть встроенный механизм защиты от вредоносных драйверов, и многие пользователи о нём даже не догадываются. Речь идёт о функции Vulnerable Driver Blocklist (список блокировки уязвимых драйверов), которая входит в набор возможностей Core Isolation в Windows 10 и 11.

Если коротко, это список уязвимых или скомпрометированных драйверов, которым система просто запрещает запускаться.

В прошлом именно через драйверы злоумышленники не раз находили способ атаковать систему. В 2022 году Microsoft решила нивелировать этот вектор атак и начала поддерживать централизованный список проблемных драйверов.

Blocklist — результат сотрудничества Microsoft с производителями оборудования и независимыми вендорами. Если обнаруживается серьёзная уязвимость в драйвере, корпорация работает с разработчиком над патчем. А если риск высок и при этом вероятность поломать совместимость невелика, конкретную версию драйвера добавляют в список блокировки.

Важно понимать, что это не полный перечень всех уязвимых драйверов в мире. Microsoft сознательно не блокирует всё подряд. Причина простая: слишком жёсткая фильтрация может привести к сбоям устройств или даже к «синему экрану смерти». Поэтому поддержание списка — это постоянный баланс между безопасностью и стабильностью.

Обновляется Vulnerable Driver Blocklist через Windows Update, как правило, во время крупных функциональных обновлений примерно один-два раза в год. Если производитель выпускает исправленную версию драйвера, он может обратиться к Microsoft для актуализации политики.

В большинстве современных установок Windows функция включена по умолчанию. Она также автоматически применяется, если активированы HVCI (Hypervisor-Protected Code Integrity), Smart App Control или режим S. Технически система работает по принципу «запрещаем известное плохое, остальное разрешаем» — хотя Microsoft в идеале рекомендует подход с явным allowlist, где разрешается только строго определённое ПО. На практике реализовать это повсеместно довольно сложно.

Найти настройки можно в приложении «Безопасность Windows» или в разделе «Конфиденциальность и безопасность». Для обычных пользователей ничего дополнительно включать не нужно — защита уже работает. А администраторам Microsoft предоставляет отдельный файл политики для офлайн-настройки.

На фоне разговоров о новых мерах безопасности в Windows 11 это напоминание выглядит своевременным: часть защитных механизмов уже давно встроена в систему, просто они не всегда на виду.

RSS: Новости на портале Anti-Malware.ru