Wirusy i ataki sieciowe X-XII 2005

Przeczytaj także: Panda: złośliwe oprogramowanie 2008

Wygląda na to, że naukowcy z "Computer Terrorism" zrozumieli lukę lepiej niż firma Microsoft. Po niewielkich modyfikacjach kod wirusa typu proof of concept umożliwiał zainstalowanie i wykonanie pliku w systemie ofiary bez wiedzy i zgody samego użytkownika.

Twórcy wirusów potrzebowali niewiele ponad tydzień czasu, aby umieścić złośliwy kod na stronie internetowej. Wykryliśmy wiele trojanów rozprzestrzeniających się w ten sposób. Jedynym zabezpieczeniem przed takim trojanem było wyłączenie obsługi Java Script w przeglądarce Internet Explorer, jednak niewielu użytkowników skorzystało z tej opcji. Kilkadziesiąt, a nawet kilkaset milionów użytkowników na całym świecie było narażonych na infekcję tym trojanem. Był to pierwszy przypadek wykorzystania przez trojana luki w systemie Windows, dla której nie istniała łata.

Wydawałoby się, że Microsoft zrobi wszystko, co jest możliwe, aby naprawić ten błąd. W końcu firma chce, aby kojarzono ją z walką ze złośliwym oprogramowaniem. Wcześniej Microsoft opublikował własne oprogramowanie antywirusowe oraz zapowiedział, że będzie wstępował na drogę sądową przeciwko twórcom wirusów. Jednak w tym przypadku reakcja Microsoftu była dość nieoczekiwana. Firma ogłosiła, że chociaż luka została określona jako krytyczna, nie przewiduje się publikacji żadnej łaty poza zwykłym cyklem. Od roku 2002 Microsoft publikuje łaty w każdy drugi wtorek miesiąca. Najnowsze łaty miały pojawić się 13 grudnia i Microsoft planował trzymać się grafiku.

Od dnia pojawienia się kodu typu proof of concept minęły trzy tygodnie, natomiast od wykrycia luki - sześć miesięcy. Jest to dość długi okres czasu, w ciągu którego zainfekowanych mogło zostać wielu użytkowników przeglądarki Internet Explorer. Zaniepokojenie wzrosło, gdy w ciągu dwóch tygodni historia powtórzyła się, tym razem jednak konsekwencje mogły być o wiele poważniejsze.

26 grudnia niektóre firmy antywirusowe otrzymały tajemnicze pliki WMF. Analitycy wykazali, że pliki te zawierają kod wykonywalny, który pobiera pliki ze stron zawierających programy adware oraz spyware. Wykonanie złośliwego kodu następowało po otwarciu przez użytkownika pliku WMF. Inne czynności, takie jak wykorzystanie Exploratora Windows do otwarcia katalogu, w którym znajduje się plik, przeglądanie właściwości pliku itd. również powodowały wykonanie złośliwego kodu. Kod mógł zostać wykonany w każdej z dostępnych systemów Windows, łącznie z wersją Windows 95/98, nawet tych całkowicie załatanych.

Była to niewątpliwie najnowsza luka "zero day", a Microsoft nic o tym nie wiedział. Najbardziej niepokojące w całej sprawie jest to, że twórcy wirusów wyprzedzili w wykryciu tej luki nie tylko firmę Microsoft, ale także inne duże firmy specjalizujące się w identyfikowaniu luk.

Analizą najnowszej luki zajęło się w ciągu następnych dwóch dni wielu ekspertów z branży bezpieczeństwa. Informacje o niej zostały opublikowane, a większość firm antywirusowych dodała do swoich produktów heurystyczne wykrywanie zainfekowanych plików WMF. Jednak Puszka Pandory została już otwarta i w Internecie zaczęły krążyć nowe programy typu koń trojański, które wykorzystywały omawianą lukę. W jednym tygodniu wykryto aż tysiąc zainfekowanych "obrazków". Ponieważ luka była obecna we wszystkich wersjach systemu Windows, istniało ryzyko, że sytuacja wymknie się spod kontroli. Lukę wykorzystywano również do rozprzestrzeniania robaków i spamu.

Na szczęście wszystko to miało miejsce w Święta Bożego Narodzenia. Liczba użytkowników Internetu była znacznie mniejsza niż zazwyczaj i właśnie to pozwoliło na uniknięcie poważnej katastrofy.

Jednak reakcja Microsoftu na wykrycie nowej luki i tym razem była niezrozumiała. Firma opublikowała biuletyn KB 912840, w którym poinformowała o zidentyfikowaniu luki i wyszczególniła zagrożone wersje systemów Windows. Konkretne informacje pojawiły się 3 stycznia 2006 r., gdy Microsoft zapowiedział wypuszczenie łaty 10 stycznia w ramach comiesięcznego biuletynu. Swą decyzję firma argumentowała koniecznością przeprowadzenia dokładnych testów nad łatą i zlokalizowania jej dla wszystkich wersji systemu Windows. Microsoft zapewniał również, że chociaż problem był poważny, nie wykryto żadnej znaczącej epidemii wirusowej.

Branża IT była przerażona. Już drugi raz w miesiącu Microsoft nie tylko nie był w stanie właściwie zareagować na problem bezpieczeństwa, ale wydawał się nie rozumieć powagi sytuacji. Liczba krytycznych artykułów dorównywała ilości wykrytych zainfekowanych plików WMF. Jednocześnie nastąpił przeciek opracowanej przez firmę Microsoft łaty w wersji beta dla systemu XP. Łata ta została opublikowana na wielu stronach WWW i wraz z nieoficjalną poprawką opracowaną przez Ilfaka Gulfanova, stanowiła jedyne dostępne rozwiązanie.

6 stycznia firma Microsoft pod naciskiem krytyki wydała biuletyn MS06-001 zawierający łatę dla luki WMF.

Istotnym aspektem całej sprawy jest to, że luka ta została po raz pierwszy wykryta przez członków podziemia komputerowego. Eksperci z Kaspersky Lab przeanalizowali problem i doszli do następujących wniosków:
Luka została najprawdopodobniej wykryta przez anonimową osobę około 1 grudnia 2005 roku. Stworzenie exploita umożliwiającego wykonanie dowolnego kodu na komputerze ofiary zajęło kilka dni. Mniej więcej w połowie grudnia można było kupić exploita na różnych specjalistycznych stronach WWW. Wygląda na to, że program ten sprzedawały za 4 tys. dolarów dwie lub trzy rywalizujące ze sobą grupy hakerów z Rosji. Interesujące jest to, że grupy te nie w pełni rozumiały lukę. Jeden z nabywców exploita zamieszany był w przestępczą działalność dotyczącą rozprzestrzeniania programów typu adware/spyware. Najprawdopodobniej w ten sposób informacje o exploicie przedostały się na zewnątrz.