Silverlight groźniejszy od Javy: ataki drive-by coraz częściej biorą na celownik wtyczkę z Microsoftu
Przywykliśmy traktować przeglądarkową wtyczkę Javy z wielkąrezerwą, przyzwyczajeni że od lat kolejne odkrywane w środowiskuuruchomieniowym od Oracle'a luki zamieniają ją w najbardziejwrażliwy na ataki element systemowego oprogramowania. Eksperci zCisco twierdzą jednak, że jest dziś wtyczka gorsza pod tymwzględem od wtyczki Javy. To popularny Silverlight Microsoftu,budzący coraz większe zainteresowanie hakerów.
21.05.2014 | aktual.: 21.05.2014 14:04
Levi Gundert, szef zespołu bezpieczeństwa w Cisco, opublikowałna firmowym blogu analizę aktywności użytkowników pakietu Angler,wykorzystywanego najczęściej w malvertisingu – złośliwychkampaniach reklamowych. W ostatnich miesiącach otrzymali oni odwydawców dodatkowe exploity dla Silverlighta. Efekty ich działaniasą w Sieci coraz bardziej widoczne. Od 23 kwietnia Cisco odnotowujeznaczący wzrost ruchu sieciowego, generowanego wskutek wykorzystaniapodatności we wtyczce Microsoftu.
Ataki stosowane w praktykach malvertisingu polegają przedewszystkim na siłowym przekierowaniu internauty na stronę napastnikaza pomocą kodu serwowanego przez całkiem niewinne witryny. Głównymgrzechem tych witryn jest korzystanie z reklam dostarczanych przezniezależne od nich sieci. W reklamach takich może znaleźć sięprzekierowanie, prowadzące do przejętej witryny, hostującejzłośliwe oprogramowanie. Skuteczność jest ogromna –wyemitowanie złośliwej reklamy w popularnym portalu pozwalazaatakować od razu wielką grupę użytkowników. Gundert szacuje,że w wypadku kampanii realizowanych za pomocą pakietu Angler,ofiarami pada nawet 10% odwiedzających popularne strony WWW.
Ostatnia taka kampania przeprowadzona za pomocą Anglera niekorzystała już z Javy. Utrudnienia w uruchamianiu wtyczki Javy,jakie wprowadzili producenci wiodących przeglądarek – i rosnącapopularność Silverlighta (przede wszystkim za sprawąupowszechnienia się serwisów Video On Demand, wykorzystującychosadzoną w Silverlighcie microsoftową technologię DRM PlayReady),doprowadziły do sytuacji, w której twórcy tego pakietu exploitówzainteresowali się bardziej Silverlightem i Flashem. Ekspert Ciscoodnotował wykorzystanie dwóch luk w Silverlighcie –CVE-2013-0074,pozwalającej na zdalne uruchomienie wrogiego kodu orazCVE-2013-3896,pozwalającej obejść zabezpieczenia DEP w Windows. Łatki dowymienionych luk zostały wydane przez Microsoft odpowiednio w marcui październiku zeszłego roku – ale najwyraźniej spora częśćużytkowników nigdy z nich nie skorzystała.
W tej sytuacji można się spodziewać, że także autorzy innychpakietach exploitów zainteresują się Silverlightem. Mimoforsowania przez Microsoft rozwiązań webowych wykorzystującychHTML5, Silverlight 5 pozostanie z nami przynajmniej do 2021 roku.Znaczenie tej wtyczki dla serwisów wideo powoduje zaś, że jeszczedługo producenci przeglądarek nie zdecydują się na jejzablokowanie.
Najnowszą, bezpieczną wersję Silverlighta (numer 5.1.30214.0)możecie pobrać z naszego repozytorium oprogramowania, z działuDodatki > Rozszerzeniaprogramów. Szczegółowy opis wykorzystanych exploitówznajdziecie na bloguCisco.