Silverlight groźniejszy od Javy: ataki drive-by coraz częściej biorą na celownik wtyczkę z Microsoftu
Przywykliśmy traktować przeglądarkową wtyczkę Javy z wielkąrezerwą, przyzwyczajeni że od lat kolejne odkrywane w środowiskuuruchomieniowym od Oracle'a luki zamieniają ją w najbardziejwrażliwy na ataki element systemowego oprogramowania. Eksperci zCisco twierdzą jednak, że jest dziś wtyczka gorsza pod tymwzględem od wtyczki Javy. To popularny Silverlight Microsoftu,budzący coraz większe zainteresowanie hakerów.
Levi Gundert, szef zespołu bezpieczeństwa w Cisco, opublikowałna firmowym blogu analizę aktywności użytkowników pakietu Angler,wykorzystywanego najczęściej w malvertisingu – złośliwychkampaniach reklamowych. W ostatnich miesiącach otrzymali oni odwydawców dodatkowe exploity dla Silverlighta. Efekty ich działaniasą w Sieci coraz bardziej widoczne. Od 23 kwietnia Cisco odnotowujeznaczący wzrost ruchu sieciowego, generowanego wskutek wykorzystaniapodatności we wtyczce Microsoftu.
Ataki stosowane w praktykach malvertisingu polegają przedewszystkim na siłowym przekierowaniu internauty na stronę napastnikaza pomocą kodu serwowanego przez całkiem niewinne witryny. Głównymgrzechem tych witryn jest korzystanie z reklam dostarczanych przezniezależne od nich sieci. W reklamach takich może znaleźć sięprzekierowanie, prowadzące do przejętej witryny, hostującejzłośliwe oprogramowanie. Skuteczność jest ogromna –wyemitowanie złośliwej reklamy w popularnym portalu pozwalazaatakować od razu wielką grupę użytkowników. Gundert szacuje,że w wypadku kampanii realizowanych za pomocą pakietu Angler,ofiarami pada nawet 10% odwiedzających popularne strony WWW.
Ostatnia taka kampania przeprowadzona za pomocą Anglera niekorzystała już z Javy. Utrudnienia w uruchamianiu wtyczki Javy,jakie wprowadzili producenci wiodących przeglądarek – i rosnącapopularność Silverlighta (przede wszystkim za sprawąupowszechnienia się serwisów Video On Demand, wykorzystującychosadzoną w Silverlighcie microsoftową technologię DRM PlayReady),doprowadziły do sytuacji, w której twórcy tego pakietu exploitówzainteresowali się bardziej Silverlightem i Flashem. Ekspert Ciscoodnotował wykorzystanie dwóch luk w Silverlighcie –CVE-2013-0074,pozwalającej na zdalne uruchomienie wrogiego kodu orazCVE-2013-3896,pozwalającej obejść zabezpieczenia DEP w Windows. Łatki dowymienionych luk zostały wydane przez Microsoft odpowiednio w marcui październiku zeszłego roku – ale najwyraźniej spora częśćużytkowników nigdy z nich nie skorzystała.
W tej sytuacji można się spodziewać, że także autorzy innychpakietach exploitów zainteresują się Silverlightem. Mimoforsowania przez Microsoft rozwiązań webowych wykorzystującychHTML5, Silverlight 5 pozostanie z nami przynajmniej do 2021 roku.Znaczenie tej wtyczki dla serwisów wideo powoduje zaś, że jeszczedługo producenci przeglądarek nie zdecydują się na jejzablokowanie.
Najnowszą, bezpieczną wersję Silverlighta (numer 5.1.30214.0)możecie pobrać z naszego repozytorium oprogramowania, z działuDodatki > Rozszerzeniaprogramów. Szczegółowy opis wykorzystanych exploitówznajdziecie na bloguCisco.