Operačný systém Windows 7 a inštalátor prehliadača Google Chrome obsahujú zraniteľnosti, ktoré dovoľujú útočníkom spustiť škodlivý kód alebo oklamať používateľov a získať administrátorské oprávnenia. Zraniteľnosti objavili zamestnanci špecializovanej jednotky pre riešenie počítačových incidentov CSIRT.SK a prezentovali ich počas dnešnej konferencie Internetová bezpečnosť 2017.
Odhalené zraniteľnosti typu DLL hijacking
Zraniteľnosti sú typu DLL hijacking, čo je technika, umožňujúca útočníkom podhodiť vlastnú škodlivú DLL knižnicu miesto legitímnej systémovej. Toto správanie je možné v dôsledku návrhu operačných systémov Windows, v ktorom sa dynamicky linkované knižnice vyhľadávajú najprv v pracovnom adresári aplikácie, a až potom v systémových adresároch.
Takéto správanie je vo väčšine prípadov v poriadku, keďže útočník bez administrátorských oprávnení nevie vložiť škodlivú knižnicu do aplikácie nainštalovanej v adresároch Program Files. Problém však predstavujú aplikácie spúšťané z používateľských adresárov, typicky inštalátory stiahnuté a spustené z adresára Downloads alebo rozbaľujúce sa do adresára pre dočasné súbory %TEMP%.
Do týchto adresárov môže útočník vložiť škodlivú knižnicu, ktorá bude načítaná inštalátorom spusteným s administrátorskými oprávneniami, čím útočník získa oprávnenia správcu systému a môže ľubovoľne meniť operačný systém.
K spusteniu škodlivého kódu môže dôjsť aj v prípade, ak sa program spúšťa zo sieťového disku alebo adresára zdieľaného viacerými používateľmi, alebo je pracovný adresár rovnaký ako adresár súboru otvoreného daným programom (napr. ak program na prehliadanie obrázkov používa adresár s obrázkami ako pracovný adresár). V tom prípade môže jeden používateľ, resp. útočník, docieliť spúšťanie škodlivého kódu inými používateľmi.
Problémy v inštalátore prehliadača Google Chrome
Zraniteľnosti sú niekedy zneužívané samotným škodlivým kódom (malvérom), jednak na získanie oprávnení správcu systému, ale aj na skrytie svojej činnosti v počítači. Predvolené poradie vyhľadávania DLL knižníc môžu vývojári aplikácií ovplyvniť. V prípade inštalátorov to väčšinou aj robia práve kvôli obrane pred vyššie spomínaným útokom.
V inštalátore prehliadača Google Chrome to však ošetrené nie je, ako poukázal CSIRT.SK na videoukážke. Vo videu je znázornený Proof of Concept, ako môže vyzerať zneužitie DLL hijackingu.
Štandardne používateľ nemôže zapisovať súbory priamo do adresára C:\. Po spustení programu, ktorý presvedčí používateľa, že potrebuje nainštalovať prehliadač Google Chrome, sa spustí inštalácia tohto prehliadača. Používateľ uvidí dialógové okno s informáciami o tom, že sa spúšťa dôveryhodný program podpísaný spoločnosťou Google. Následne tento dôveryhodný program načíta škodlivú knižnicu a škodlivý kód s využitím oprávnení správcu systému vytvorí súbor C:\pwned.txt.
Zraniteľnosť v systémovej knižnici Windows 7
Druhá zraniteľnosť DLL hijacking je ešte vážnejšia, netýka sa totiž iba jedného samotného programu, ale systémovej knižnice pre sieťovú komunikáciu ws2 32.dll. Táto knižnica načítava ďalšiu knižnicu rasadhlp.dll, avšak kvôli neúplnej ceste v registroch systému Windows ju vyhľadáva najprv v pracovnom adresári aplikácií. Toto poradie vyhľadávania navyše vývojári nemôžu zmeniť
Vývojári môžu ovplyvniť iba načítanie knižnice ws2 32.dll, ale nie knižníc, ktoré sú načítavané touto knižnicou. Potenciálne je tak zraniteľných viacero programov využívajúcich túto knižnicu. CSIRT.SK demonštroval túto zraniteľnosť využitím programu Process Monitor, ktorý je podpísaný priamo spoločnosťou Microsoft.
Zraniteľnosti boli nahlásené, náprava sa zatiaľ nedostavila
Obe zraniteľnosti boli nahlásené výrobcom ešte začiatkom februára. Spoločnosti Google aj Microsoft však tieto zraniteľnosti odmietli opraviť. CSIRT.SK preto publikoval odporúčanie, ako zabrániť DLL hijackingu v knižnici ws2 32.dll. Pomocou programu regedit je možné doplniť cestu k súboru rasadhlp.dll v kľúči HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters v hodnote AutodialDLL na C:\Windows\System32\rasadhlp.dll.
V operačných systémoch Windows 8.1 a Windows 10 je už táto cesta úplná, zraniteľné sú preto iba systémy Windows 7. Medzi ďalšie odporúčania ako sa možnému zneužitiu brániť patrí pravidelné premazávanie adresárov pre stiahnuté a dočasné súbory, ako aj kontrola platného podpisu stiahnutých programov (pravý klik na súbor → vlastnosti → digitálne podpisy → podrobnosti).