ニュアンスのあるパッチの週がもう1週間あります。 少なくとも2つの大規模なDDoS攻撃に使用されたMiraiボットネットに関する次のニュースから始めましょう。 ソースリークのおかげで、この一見一度だけの物語は、続編と前編を含む大規模なシリーズに変わります。 今週、スピンオフも登場しました。InvinceaLabsの研究者は、Mirai攻撃コードに3つの脆弱性を掘り起こしました( このニュースまたは元の研究で詳しく説明しています )。
最も深刻な脆弱性は、Miraiコードのバッファオーバーフローにつながります。 問題は、攻撃されたサーバーの応答に存在する可能性があるHTTP Locationヘッダーの誤った処理です。 コードは、受信した文字列からhttp://プレフィックスを削除します。 これは非常に簡単に行われます:行の長さを取得し、そこからプレフィックス文字の数(7個)を減算します。 応答で非常に短いLocationヘッダー(5文字)をスリップすると、負の数(5-7 = -2)が得られ、バッファーオーバーフローとクラッシュが発生します。
重要なポイント:攻撃を実行するプロセスで障害が発生します。 つまり、感染したデバイスからの攻撃を止めることはできますが、ボットネットから攻撃を止めることはできません。 一般的に、非常に馴染みのある、しかし反転した状況になります。 正当なプログラムについて話している場合、「httpリクエストに対する特別に準備された応答を使用して攻撃者が簡単に悪用できる重大な脆弱性」などについて話します。 緊急パッチ! そしてここに? 理論的には、逆に、攻撃を効果的に抑制することが可能になります。 しかし、道徳的および倫理的な計画の問題が発生します:この手順は「ハックに対応するハック」ではありませんか?
ハッキングを元に戻す、または文字通り、攻撃者を攻撃しようとすると、実際にはいくつかの倫理的および法的困難が生じます。 サイバー犯罪者のサーバーにハッキングしない理由はたくさんあります。本当にやりたい場合でも、名前、パスワード、および外観はわかっています。 まず、多くの場合、単に違法です。 第二に、あなたは住人の悪ではなく、あなたのコンピューターにトロイの木馬を持つ疑いを持たないユーザーを破壊する可能性が高いです。 第三に、そのような慣行は、「念のために」鋭い鋭い攻撃ツールを持っているという自然な欲求を引き起こします。 サイバーカントルに対するあなたの十字軍は、最終的にマルウェアの拡散に変わります。
さて、この脆弱性の文脈では、Miraiは無害のようです。ここには基本的にエクスプロイトはなく、Webサーバーの構成を少し変更するだけです。 しかし、上記の段落で示したように、概念的には、そのようなアクションは、真正なソフトウェアの脆弱性を悪用することと変わりません。 専門家は何を勧めますか? レポートの著者は何もアドバイスしていません。自分で決めてください。 ここでは、ソースからの例によるMiraiの脆弱性自体の分析でさえ、それを解釈する方法が不明確です。一般に知らせるか、ボタニストがボットを扱うのを手伝います。
生き残った。
Googleの研究者は、パッチのリリース前にWindowsのゼロデイ脆弱性に関する情報をリリースしました。 マイクロソフトは不幸です。
ニュース 。 Google脅威調査チームのブログ投稿。
10月31日に、Googleのセキュリティ研究者グループがWindowsゼロデイ脆弱性の簡単な説明を公開しました。 この脆弱性により、ローカルでユーザー特権を増やすことができ、「サンドボックスエスケープ」メカニズムで使用できます。 マイクロソフトの研究者は、発見された脆弱性に関する情報を10月21日に送信し、パッチを開発するのにたった7日間しか与えませんでした。 ここで興味深い瞬間が始まります。一般に受け入れられている「待機時間」(ベンダーがパッチを準備して配布する間)は数週間であり、この場合、期間はずっと短くなりました。 マイクロソフトは時間内に脆弱性を閉じることができませんでした。解決策は存在しないが、Googleは深刻な問題に関するデータを広めたことが判明しました。 たとえば、Chromeに「松葉杖」が追加されたため、このブラウザで「エスケープ」を使用できなくなりました。
なぜそう Googleには、 積極的に悪用されている脆弱性の待機時間を詳述した公開文書があります。 この会社の研究者によると、インザワイルドエクスプロイトについては、ベンダーがパッチまたは少なくとも発表に間に合っていない場合、情報を広めて問題について知って、自分で何かをしようとする方が良いと言います。 ちなみに、10月21日に、GoogleはFlashに関するAdobeの脆弱性に関する情報を送信しました 。
問題は、ベンダーと研究者の間の関係にエチケットの一般に受け入れられている基準がないことです。 明らかに、Googleの議論は公正ですが、Microsoftの反論も事実です。 彼らの意見( このニュースの詳細な分析)では、このようなGoogleの行動はMicrosoftの顧客を危険にさらします-結局のところ、脆弱性に関する最小限の情報さえ開示すると、エクスプロイトがはるかに広く使用され始めるという事実につながる可能性があります。 脆弱性は11月9日に完了する予定です。 しかし、情報セキュリティの研究の倫理に関する議論は、誰もが最終的に同意するまで、長い間続きます。
MySQLおよび互換DBMSで検出された重大な脆弱性
ニュース 。 リーガルハッカーの研究 。
変化
脆弱性を共有できることは注目に値します。これにより、攻撃者は影響を受けるシステムに完全にアクセスできます。 最初の脆弱性(CVE-2016-6663)では、ローカルDBMSユーザーが特権を増やすことができます。 この問題を支点として使用して、2番目の脆弱性を適用し、ルート権限を取得することができます。 2番目の脆弱性(CVE-2016-6664)は、error.logファイルのMySQLの安全でない処理に関連しています。 ちなみに、9月の脆弱性は、パッチが適用されていない場合、攻撃の開発に使用できます。
上記のすべての製品の脆弱性は既に解決されています。 MariaDBの開発者から興味深いソリューションが生まれました。彼らはすぐに最初の穴(6663)を閉じ、後のために2番目のパッチを残しました。 引数は単純です。「スプリングボード」がないと、スーパーユーザーの権利を取得することはできません。
他に何が起こった
iTunesおよびWindowsプラットフォーム用のiCloudコントロールパネルのパッチ 。
ラボの専門家は、今年の第3四半期にDDoS攻撃に関するレポートを公開しました 。 議題は、Linuxマシンを使用したDDoS攻撃の割合の継続的な増加です(78.9%)。
古物
さようなら-839
通常、メモリにロードされた.COM-、. EXE-、およびOVLファイルに感染する、危険性のない常駐型ウイルス。 日曜日に、彼はロックバンド「Nautilus-Pompilius」の曲「Goodbye America」を歌います。 int 1Ch、21hをフックします。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 68ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。