Et spørgsmål at sikkerhedsforanstaltninger ingeniører er i øjeblikket over bekymringer Microsofts Silverlight. Som du måske har bemærket, MS bare lappet en kritisk sårbarhed i Silverlight i januar 12 s Patch tirsdag:
MS16-006: Sikkerhedsopdatering til Silverlight til Adresse fjernudførelse af kode, også som KB 3126036
Dette er den officielle beskrivelse af MS16-006 givet af MS i sikkerhedsbulletinen:
Denne sikkerhedsopdatering løser en sårbarhed i Microsoft Silverlight. Sårbarheden kan tillade fjernkørsel af programkode, hvis en bruger besøger en kompromitteret hjemmeside, der indeholder et særligt udformet Silverlight ansøgning. En hacker har ingen måde at tvinge brugere til at besøge et kompromitteret website. I stedet, en hacker skulle overbevise brugerne til at besøge hjemmesiden, typisk ved at få dem til at klikke på et link i en e-mail eller chatbesked, som fører brugeren til hackerens websted.
Lær mere om Januar 12 Patch tirsdag
Hvad bekymrer sikkerhedseksperter, ligesom forskerne på Kaspersky Lab, er, at selv om Silverlight exploits er blevet anvendt i lille antal angreb, det vil ikke tage lang tid før sådanne angreb bliver udbredt. Som påpeget af eksperter, Microsoft har sagt lidt om udnytter af Silverlight.
Hvorfor er Silverlight sårbarheder en potentiel trussel?
Silverlight sårbarheder kan være alt ligner sikkerhedsmæssige fejl i Flash Player. De ville give veluddannede malware aktører til at angribe ofre kører forskellige browsere og platforme. Forskere ved Kaspersky har observeret sådanne angreb, og for nu angribere målrette kun Windows-computere. Men, med kun få justeringer, angriberne kunne begynde at målrette Mac OS X og andre platforme. Hvad ville der generelt ske, er en bruger blev narret til et spyd-phishing eller bliver offer for et drive-by download. I begge scenarier, malware skuespiller ville være faldet en ondsindet Silverlight app på en sårbar websver.
Hvorfor er Silverlight udnytte sådan en big deal? Dette er, hvad Kaspersky Labs forsker Brian Bartholomew siger:
Det er en big deal; Silverlight sårbarheder ikke 'kommer rundt der ofte. Udnyttelse af dag nul selv er temmelig teknisk, men når en proof-of-concept falder i hænderne på en person, der ved, hvad de laver, og vende ingeniører plasteret, det er ikke så vanskeligt at fremstille en våbengjort version af det.
Endvidere, en udnytte anvendt i målrettede angreb kunne også "videresendt" til aktuelt aktive udnytte kits og stilles til rådighed for forskellige ondsindede operationer.
Den Silverlight fejl blev rapporteret til Microsoft af Kaspersky Labs forskere Costin Raiu og Anton Ivanov. Deres opmærksomhed blev fanget af en e-mail sendt fra en russisk hacker (Vitaliy Toropov) til Hacking Team under deres berygtede brud, hævder, at han havde en Silverlight zero-day sårbarhed til salg. Desuden, fejlen var mindst to år i 2013. Hackeren mente selv, at nul-dage kunne gå uopdaget i en længere periode.
Dette er en del af kommunikationen med Vitaliy udgivet af ArsTechnica:
Jeg vil anbefale dig den friske 0 dage til iOS 7 / OS X Safari eller min gamle Silverlight udnytte som blev skrevet 2.5 år siden, og har alle chancer for at overleve længere i kommende år samt.
Er patched Silverlight udnytte den eneste?
Ifølge Bartholomew, Kaspersky forskere fundet en ældre Silverlight sårbarhed og proof of concept, som også blev krediteret Toropov og blev forelagt Packet Storm (en sikkerhed informationsportal). Arkivet kunne downloades og indeholdt tilstrækkelig information til Kaspersky til at skrive en YARA regel for DLL-fil, der udløste udnytter.
Hvad er YARA?
YARA er et værktøj, der hovedsagelig anvendes af malware forskere at identificere og klassificere malware prøver. YARA anvendes til at oprette beskrivelser af malware familier baseret på tekst eller binære mønstre. Hver beskrivelse (eller regel) er et sæt strenge.
Når YARA reglen var klar, det blev udsendt til Kaspersky kunderelationer computere. Alt syntes at være okay, indtil slutningen af november 2015. Det er, når en alarm blev udløst på en brugers computer ved en af de generiske fund for 2013 udnytte. Analyse viste, at skadelig fil blev oprettet på juli 21, næsten to uger efter Hacking hold brud på fandt sted og stjålet data blev offentliggjort online. Den udnytte blev rapporteret til Microsoft, og var patched inden januar 12 2016 Patch tirsdag.
Hvad er fortsat uklart for forskere er, om den lappet nul dage udnytter er den samme videregives af Hacking Team brud (den, der foreslås til salg af Toropov), eller en ny udnytte skrevet bagefter.
Kasperskys Bartholomew siger, at der er ligheder i begge prøver, der peger på Toropov:
Ikke mange mennesker skriver Silverlight nul dage, så feltet er indsnævret betydeligt,"Bartholomæus sagde. "Oven i købet, der er nogle fejlstrenge anvendes i sin gamle udnytte fra 2013 at vi smækket på og tænkte var enestående. Det var grundlaget for vores regel.
Endelig, den farlige ting om Silverlight zero-day exploits er, at de har potentiale til at blive udbredt.
Referencer
ThreatPost
ArsTechnica
Kaspersky Lab