Производители ПО массово закрывают уязвимости, которыми пользовалось ЦРУ09.03.2017 23:22

453880c9b846558ac846347e65764171.jpg

Apple, Google, Microsoft, Samsung и другие компании быстро отреагировали на утечку документов ЦРУ с подробным описанием хакерских инструментов и десятков 0day-уязвимостей в популярных программах и устройствах.

Одними из первых вчера вечером отчитались разработчики текстового редактора Notepad++, который ЦРУ эксплуатировало через подмену DLL. Этот редактор поддерживает подсветку синтаксиса для разных языков программирования, так что им пользуются даже некоторые разработчики.
В документах Vault 7 оказалось упоминание подмены DLL в Notepad++. Точнее, один из разработчиков или тестировщиков эксплойта жалуется на небольшую проблему с работой готового эксплойта. Как упоминается в этой заметке, Notepad++ загружает Scintilla — «компонент редактирования кода» (отдельный проект) из динамической библиотеки SciLexer.dll, примыкающей к исполняемому файлу. Из этой библиотеки экспортируется только одна функция под названием Scintilla_DirectFunction.

Специалист цитирует открытый исходный код Notepad++ для определения прототипа экспортируемой функции: 

sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)


Программист или тестировщик признаётся, что ему никак не удаётся обратиться к этой функции, хотя он даже установил дополнительные плагины, которые должны напрямую контактировать с Scintilla. В то же время он даёт понять, что нынешний прототип [с подменой библиотеки SciLexer.dll] работает нормально — и выражает надежду, что коллеги решат эту проблему тоже.

Разработчики Notepad++ буквально на следующий день после утечки документов выпустили новую версию Notepad++ 7.3.3, где решили проблему с подменой оригинальной DLL на библиотеку SciLexer.dll от ЦРУ, которая выполняет сбор данных в фоновом режиме.

Проблему решили кардинально. Теперь с версии 7.3.3 редактор будет проверять сертификат у библиотеки SciLexer.dll перед её загрузкой. Если сертификат отсутствует или недействительный, то библиотека не будет загружаться — и сам редактор Notepad++ работать не будет.

Проверка сертификата не является абсолютной защитой. Разработчики программы верно замечают, что если злоумышленник получил доступ к компьютеру, то формально может сделать на нём что угодно с системными компонентами. Данная защита просто не даёт текстовому редактору загружать вредоносную библиотеку. Но никто не мешает ЦРУ заменить, например, не библиотеку, а сразу весь исполняемый файл notepad++.exe, если уж ЦРУ контролирует компьютер.

Разработчики сравнивают эту защитную меру с установкой замка на входные двери. Понятно, что замок на двери не защитит от людей, которым действительно нужно проникнуть внутрь, но всё-таки принято запирать дверь каждый раз, когда вы выходите из дому.


Хак для Notepad++ был частью операции Fine Dining, в рамках которой ЦРУ выпускало эксплойты для различных популярных программ. Всего в списке Fine Dining перечислены модули для 24 приложений. Для большинства из них осуществлялась подмена DLL.

  • VLC Player Portable
  • Irfan View
  • Chrome Portable
  • Opera Portable
  • Firefox Portable
  • ClamWin Portable
  • Kaspersky TDSS Killer Portable
  • McAfee Stinger Portable
  • Sophos Virus Removal
  • Thunderbird Portable
  • Opera Mail
  • Foxit Reader
  • Libre Office Portable
  • Prezi
  • Babel Pad
  • Notepad++
  • Skype
  • Iperius Backup
  • Sandisk Secure Access
  • U3 Software
  • 2048
  • LBreakout2
  • 7-Zip Portable
  • Portable Linux CMD Prompt


Конечно, у ЦРУ есть гораздо более продвинутые эксплойты. Например, с внедрением руткита в ядро операционной системы, инфицированием BIOS и т.д. Но этот пример показывает, что разведчики не отказывались от более простых и менее технологичных способов, таких как подмена DLL. Возможно, эти простенькие эксплойты разрабатывали начинающие стажёры или сторонние подрядчики.

Понятно, что полностью защититься от слежки со стороны правительства невозможно — у них слишком большие ресурсы. Но если в наших силах закрыть какую-то уязвимость — нужно это делать, несмотря на общую бесполезность процесса.

Так или иначе, но другие производители ПО тоже отчитались о предпринимаемых мерах.

Apple заявила, что многие из уязвимости в её устройствах и программном обеспечении, которые упоминаются в документах, уже неактуальны, то есть отсутствуют в последней версии iOS. Очевидно, остальные «дыры» залатают в ближайших релизах.

Microsoft прокомментировала: «Мы в курсе документов и изучаем их».

Samsung, у которой ЦРУ взломало телевизоры серии F8000, заявила: «Мы осведомлены об отчёте и экстренно изучаем этот вопрос».

Директор по информационной безопасности и конфиденциальности Google выразила уверенность, что последние обгновления безопасности Chrome и Android должны защитить пользователей от большинства упомянутых в документах уязвимостей: «Наш анализ продолжается и мы реализуем любые необходимые меры защиты».

UPD: Джулиан Ассанж сегодня сказал, что технологические компании получат эксклюзивный доступ к эксплойтам ЦРУ до их публикации в открытом доступе.

© Geektimes