HARD CORE SECURITY LAB

Utrata wyłącznej kontroli nad własnym systemem operacyjnym może się nam przydarzyć w najmniej oczekiwanym momencie, w wyniku wielu rozmaitych ataków. Intruz może przykładowo wykorzystać lukę Zero Day obecną w naszej przeglądarce internetowej. Bardzo skuteczne mogą się również okazać ataki słownikowe wymierzone w hasła poszczególnych użytkowników danego systemu. Poważne (i często traktowane po macoszemu) zagrożenie stanowią również rozmaite wtyczki instalowane przez internautów we własnych przeglądarkach. Nawet jeśli dbamy o aktualność wszystkich naszych wtyczek, i tak możemy paść ofiarą udanego ataku...

Czytelnicy, którzy śledzą nasz oficjalny mikroblog lub stronę na Facebooku, wiedzą już za pewne, że Grupa Abysssec opublikowała wczoraj szczegółowe informacje na temat luki Zero Day odkrytej we wtyczce Adobe Shockwave Player. Problem jest obecny w aktualnej wersji wtyczki (11.5.8.612), wobec czego aktualizowanie czegokolwiek nie daje nam żadnej nadziei na skuteczną obronę. Luka pozwala intruzowi na zdalne wykonanie dowolnego kodu w systemie ofiary. Szczegółowe informacje na temat samej luki oraz gotowy exploit zostały upublicznione i są dostępne pod tym adresem.

Spójrzmy teraz, jak wyglądać może przykładowy atak krok po kroku:

Warto pokrótce omówić to co zobaczyliśmy na powyższym materiale. Otóż intruz za pomocą serwera Apache rozpoczął serwowanie exploitu pod adresem 192.168.48.170. Następnie za pomocą netcata przygotował się na przyjęcie sesji zwrotnej (na porcie 4444), która to powinna zostać nawiązana z komputera ofiary natychmiast po udanym ataku. Gdy tylko ofiara odwiedziła złośliwy adres za pomocą swej przeglądarki wyposażonej we wtyczkę Shockwave Player, intruz uzyskał dostęp do wiersza poleceń zdalnego systemu Windows.

W taki oto prosty sposób, nawet jeśli dysponujemy aktualnym oprogramowaniem oraz dobrym antywirusem, możemy się stać ofiarą udanego ataku Zero Day. Nic tu nie pomoże stosowanie się do popularnych porad w stylu Five tips for safe computer use. Firma Adobe pracuje już ponoć nad poprawką, pytanie jednak, w jaki sposób internauci mają się przed tego typu zagrożeniami skutecznie bronić? Powyższy atak nie jest zależny od samej przeglądarki, wobec czego zmiana przeglądarki np. na Firefoksa również nie zapewni nam bezpieczeństwa.

Najnowsze wersje wtyczek nie zawsze uchronią nas przed skutecznym atakiem...

Przykładowo specjaliści z firmy VUPEN doradzają po prostu usunięcie kłopotliwej wtyczki. Czy jednak rzeczywiście takie podejście jest słuszne? Zgodnie z nim, każdy internauta w celu całkowitego zabezpieczenia się przed tego typu atakami, musiałby śledzić wszystkie doniesienia o nowych exploitach Zero Day i na bieżąco usuwać niebezpieczne wtyczki, programy, a może nawet całe systemy operacyjne? Co więc waszym zdaniem  może nas najskuteczniej uchronić przed tego typu zagrożeniami?