В одной из недавних статей я упоминал о новом виде электронных атак, одновременно использующем недоработки в двух программных пакетах: Microsoft Internet Information Services (IIS) 5.0 и Microsoft Internet Explorer (IE). Это первый случай, когда хакеры организовали атаку, действующую сразу в двух направлениях, на серверном и на клиентском уровне. Мне бы хотелось прокомментировать этот инцидент и первые нерешительные ответные действия Microsoft. Однако представители программного гиганта заявляют, что выхода соответствующего исправления можно ожидать в ближайшее время.
Download.Ject: как все было на самом деле
По словам представителей Microsoft, первые сообщения об атаке Download.Ject появились 21 июня 2004 года. Целью атаки стали системы Windows 2000 Server, использующие неисправленные версии IIS 5.0. Если говорить конкретнее, Download.Ject использовал изъяны, которые должны были быть исправлены с помощью пакетов Microsoft Security Bulletin MS04-011 (Security Update for Microsoft Windows) и Microsoft Security Bulletin MS04-013 (Cumulative Security Update for Outlook Express). Вредоносная программа встраивала код JavaScript незащищенных систем. Этот код отсылал пользователей на определенный Web-сервер. Данный сервер использует ранее не известную брешь в IE, чтобы установить на клиентские системы программу, которая может отслеживать и запоминать нажатия клавиш, собирая, таким образом, личную информацию, например, пароли и номера кредитных карт.
24 июня Microsoft впервые открыто прореагировала, сообщив, что их усилиями был закрыт российский Web-сервер, ставший инициатором атаки. Именно на этот сервер переадресовывались пострадавшие пользователи, а, следовательно, его закрытие пресекает атаки. Однако присутствие до сих пор незаделанной бреши в защите IE означает, что пользователи открыты для подобных атак. А так как в мире все еще действует множество неисправленных пакетов IIS, подобная двойная атака вскоре повторится. Встревоженное сообщество пользователей Windows ждет от Microsoft адекватной реакции. Но на данный момент эти действия приносят лишь разочарование.
Первый ответ Microsoft: изменение конфигурации
2 июля, спустя неделю с лишним после заявления Microsoft об успешном закрытии российского Web-сервера, компания впервые официально обращает внимание на неисправленную недоработку в IE. Но разработчики Microsoft до сих пор не создали исправления, хотя и заявили, что работают над соответствующей программой и выпустят ее в максимально короткие сроки. Вместо этого компания сообщила об "изменении конфигурации" с помощью пакетов Windows Update для Windows Server 2003, Windows XP и Windows 2000. По сообщениям Microsoft, это изменение повышает устойчивость системы, защищая ее от атак Download.Ject. Кроме того, компания опубликовала основные рекомендации по защите систем Windows: используйте брандмауэр, вовремя обновляйте свою антивирусную службу и пользуйтесь Windows Update.
Так в чем заключается изменение? В сущности, речь идет об изменении в реестре, отключающем объект ADODB.Stream в IE. Этот объект отвечает за представление файла в памяти и используется для чтения и записи бинарных и текстовых файлов. Вирус Download.Ject врывается в брешь в защите IE и использует прямые функции объекта ADODB.Stream для выполнения сценария под локальными привилегиями (а фактически под административными привилегиями, так как практически все пользователи Windows задействуют учетную запись администратора). Отключив объект ADODB.Stream в IE, Microsoft эффективно подрывает действие вируса с клиентской стороны. Те, кто хочет побольше узнать об этом изменении конфигурации, могут обратиться к статье Microsoft "How to disable the ADODB.Stream object from Internet Explorer", описывающей, как получить аналогичный результат вручную. Кроме того, компания предоставляет информацию, которая поможет вам выяснить, заражена ли ваша система, и инструкции по чистке зараженной системы (специальный сайт по вирусу Download.Ject).
Скоро: соответствующее исправление
Как уже упоминалось выше, нужное исправление на подходе. "Безопасность наших клиентов, их компьютеров и сетей - приоритетная задача для Microsoft, и мы без устали работали над дальнейшим противодействием преступным программам, атакующим пользователей Internet Explorer", - отмечается в сводке компании по безопасности, касающейся данной проблемы. "Помимо этого изменения, которое защитит пользователей от сиюминутной угрозы, Microsoft работает над выпуском серии обновлений служб безопасности Internet Explorer, которые обеспечат дополнительную защиту для наших клиентов. Microsoft готовится выпустить Windows XP Service Pack 2, который будет включать в себя большинство новейших сетевых и почтовых Web -решений, разработанных для того, чтобы помочь защитить систему от электронных атак и снизить количество нежелательных загрузок и рекламы. Полное обновление всех поддерживаемых версий Internet Explorer будет выпущено после того как будет всесторонне протестировано и признано эффективным для всего множества версий и конфигураций".
Другими словами, это будет не скоро, так что наберемся терпения. Меня беспокоит тот факт, что компания не может решить эту проблему быстрее, и естественно, неизвестно решит ли ее XP Service Pack 2 (SP2). Эта атака заставила меня укрепиться во мнении, что SP2 - лишь временная мера и что полная безопасность Windows останется также недосягаема, как и раньше. Разве я не говорил недавно, что встроить IE в ядро операционной системы - плохая идея?
Поль Тюрро - Редактор новостей в Windows & .NET Magazine. Готовит еженедельные выпуски Windows & .NET Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com.