Uparty polski haker z Google ujawnia groźny 0‑day w bibliotece GDI Windowsa
Badacze z Google Project Zero znaleźli sobie świetny moment naujawnienie kolejnej odkrytej przez siebie luki w Windowsie – wlutym przecież nie pojawiły się żadne poprawki oprogramowania wMicrosofcie, ich wydanie przesunięto na marzec. Teraz jednak otoMateusz „j00ru” Jurczyk ujawniabłędy w bibliotece graficznej GDI Windowsa, które pozwalająwykraść zawartość pamięci wykorzystywanej przez dowolny programodwołujący się do tej biblioteki, a także obejść zabezpieczeniaASLR. Informacji towarzyszy gotowy exploit.
Od strony formalnej odkrywca nie może sobie niczego zarzucić.Google Project Zero prowadzi politykę odpowiedzialnego ujawnianiainformacji o lukach w oprogramowaniu. Producent ma 90 dni naprzygotowanie i wydanie łatki od dnia, w którym zostanie ozagrożeniu powiadomiony. Jeśli nie zdąży, informacja staje siępubliczna, stając się zagrożeniem typu 0-day.
Microsoft został poinformowany o luce w gdi32.dll, pozwalającejna atak w systemach Windows od Vista SP2 po Windows 10 AnniversaryUpdate 9 czerwca 2016 roku – i wydał łatkę bardzo szybko, już15 czerwca, w biuletynie MS16-074.Sęk w tym, że sama łatka była dziurawa. Mateusz Jurczyk ponownieprzyjrzał się zachowaniu parsera danych i odkrył, że wprowadzonezabezpieczenia chronią tylko przed takimi nadużyciami, jakiezastosował w obrazku przygotowanym jako dowód ataku.
O nienaprawionym błędzie firma z Redmond została więc ponowniepoinformowana – 16 listopada. Minął miesiąc, drugi, trzeci…ujawnienie dokonało się automatycznie. Trudno powiedzieć, czyłatka znalazła się wśród niewydanych lutowych biuletynówbezpieczeństwa. W każdym razie mamy do dyspozycji plik EMF, którymożna np. otworzyć lokalnie w Internet Explorerze, albo zdalnie wOffice Online – a wektorem ataku będzie spreparowany dokument.docx. Cała reszta zależy już od sprawności napastnika.Podstawowym zastosowaniem jest obejście zabezpieczeń ASLR systemu.
W tym wypadku nie można mówić, by Microsoft nie miał dośćczasu. Google nie zagrało przecież tak brzydko jak jesieniązeszłego roku, gdy jego badacze po10 dniach od poinformowania Microsoftu o zagrożeniu, publicznieujawnili lukę, która pozwalała na podwyższenie uprawnień procesui ucieczkę z sandboxu przeglądarki. Wówczas stwierdzili, że naprzygotowanie takiej łatki, lub chociaż wydanie porady pozwalającejzabezpieczyć system wystarczy… siedem dni.