Groźna luka w Windowsach ujawniona bez łatki. To złośliwość Google'a?
Google już nie raz pokazało,że w kwestii bezpieczeństwa potrafi ostro pogrywać sobie zMicrosoftem, stosując wobec firmy z Redmond inne standardyujawniania luk, niż wobec pozostałych producentów oprogramowania.Ujawnianie niezałatanych jeszcze luk tłumaczy się „troską odobro użytkowników” – tyle że mamy wrażenie, że potemczłonkowie Google Project Zero śmieją się do rozpuku, patrzącjak ci wszyscy użytkownicy komputerów z Windowsami padają ofiaramiexploitów przygotowanych na podstawie ich odkrycia. W końcu zawszemogli kupić chromebooki… Tak jest i tym razem. Wczoraj Googledumnie upubliczniło informacje o luce w Windowsach, którą zgłosiłoMicrosoftowi raptem dziesięć dni wcześniej.
01.11.2016 | aktual.: 01.11.2016 12:33
Nie tak dawno użytkownicy Linuksa musieli szybko łatać swojesystemy za sprawą DirtyCOW,luki, która pozwalała całkiem łatwo uzyskać uprawnienia roota.Trzeba jednak powiedzieć, że odkrywca tej aktywnie exploitowanejluki poczekał z upublicznieniem informacji na zielone światło odlinuksowych deweloperów. Odkrycie zgłoszone 15 październikadostało łatkę 18 października, a dzień później pojawiło sięw kanałach poszczególnych dystrybucji – np. w usłudze CanonicalLivepatch Service, pozwalającej na aktualizowanie jądra Ubuntubez restartów, poprawka była już ciągu czterech godzin odupublicznienia informacji.
Odkryta przez badaczy Google’a z Threat Analysis Group luka wWindowsach sporo ma wspólnego z „brudną krową” – pozwala napodwyższenie uprawnień procesu i ucieczkę z bezpiecznego sandboxu.Co prawda googlersi nie udostępnili exploitu, ale podali niezbędneinformacje jakna tacy: chodzi o wywołanie systemowe win32,NtSetWindowLongPtr() przy odpowiednio ustawionymidentyfikatorze i stylu okienka. Luka ta faktycznie jest jużexploitowana przez cyberprzestępców, ale za darmo jej nie rozdawali– na jednym z czarnorynkowych hakerskich forów kosztowała 5 tys.dolarów.
Przy okazji Google pochwaliło się, że korzystając z Chromejesteśmy bezpieczni na wykorzystujący to atak, sandbox tejprzeglądarki wykorzystuje blokadysystemowych wywołań win32, uniemożliwiając złośliwemu kodowidostanie się do kernela Windowsa.
Zgłoszenie trafiło do Microsoftu 21 października – ludzie zThreat Analysis Group zdecydowali się poczekać z publikacją, ażMicrosoft coś z tym zrobi. Wczoraj, 31 października, powołującsię na swoją politykę bezpieczeństwa, w której dostawcomoprogramowania daje się siedem dni na publikację łatki lub chociażwydanie porady pozwalającej zabezpieczyć system. Zdaniem Google’asiedem dni powinno wystarczy każdemu na taką operację.
Microsoft nie jest zachwycony. Wczoraj firma z Redmond rozesłałae-maila, w którym pisze m.in., że wierzy w skoordynowaneujawnianie informacji o podatnościach, a to co zrobiło Googlejedynie wystawia użytkowników na ryzyko. Nie podano jednakterminu załatania luki – zapewne wydarzy się to w najbliższydrugi wtorek miesiąca.
Eksperci częściowo przyznają rację Microsoftowi. Brian Martinz Risk Based Security stwierdził, że Windows jest dziś zbytskomplikowany, by przygotować dla niego łatkę w ciągu kilku dni.Trzeba uwzględnić wiele istniejących platform, zapewnić żepoprawka nie zaszkodzi działaniu oprogramowania. Z drugiej jednakstrony, jako że exploit był już dostępny w Sieci, publikacjaGoogle była częściowo usprawiedliwiona, zmusi na pewno Microsoftdo przyspieszenia prac nad poprawką.
