Podatności typu Zero-day (0day) to temat tak stary, jak samo oprogramowanie. Tym razem chcemy naświetlić interesujący przypadek. Okazało się, że wykryto w Windows niezałataną podatność, która występuje we wszystkich wersjach systemu, włącznie z Windows 10, i opiera się nawet Zestawowi narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET). Informacje o podatności są nie lada kąskiem dla cyberprzestępców... o ile są w stanie za nie zapłacić.
Podatności typu 0day znane są z tego, że nie są znane... przynajmniej przez dewelopera oprogramowania. W takich przypadkach ich odkrywca może atakować podatność exploitem bez wiedzy użytkownika i dostawcy oprogramowania, uzyskując dostęp do podatnej aplikacji i otrzymując jej uprawnienia - zwykle chodzi o prawa administratora na danej maszynie. Informacje o takich podatnościach są mocno strzeżone i sprzedawane na czarnym rynku cyberprzestępcom czy agencjom szpiegowskim. Tajemnicą poliszynela jest fakt, że korzystają też z tego agencje rządowe. Okazuje się, że informacje o podatności w Windows zostały sprzedane za niebagatelną sumę 90 000 dolarów (ok. 353 810 zł). Microsoft najwyraźniej nie jest świadomy istnienia dziury, bowiem nawet najnowszy zestaw łatek nie chroni komputera przed atakiem. Dowodzi tego kopia nagrania, którego autorem jest sprzedawca 0day. Jak widzimy, zabezpieczenia w Windows nie radzą sobie z exploitem.
Co istotne, exploit wymyka się nawet narządziu Enhanced Mitigation Experience Toolkit (EMET). Jak tłumaczy specjalista bezpieczeństwa Brian Krebs, exploit najprawdopodobniej jest prawdziwy, tym niemniej przeciętny użytkownik nie powinien się obawiać dziury w systemie. Innymi słowy exploit, by nadać włamywaczowi uprawnienia administratora, musi zostać wcześniej połączony z atakiem na inną podatność lub złośliwym oprogramowaniem (malware). Dopiero wówczas jest w stanie wyrządzić namacalne szkody. Krebs zauważa również, że cyberprzestępcy - zamiast sprzedawać informacje na czarnym rynku - mogliby zarobić więcej, współpracując z Microsoft. Firma prowadzi program tropienia błędów (bug bounty), w którym wypłaca nagrody za znalezione podatności. W przypadku exploitów 0day, które wymykają się zabezpieczeniom EMET, nagroda wynosi nawet 100 000 dolarów.
Niezależnie od przyjętej postawy (Black hat/White hat), wyszukiwanie luk w systemach zabezpieczeń, oprogramowaniu i systemach uchodzi za opłacalne zajęcie. Patrząc z perspektywy nabywcy informacji, podatności 0day mają jednak pewną wadę. Ich istnienie jest ograniczone czasowo i trwa jedynie do momentu wydania poprawek przez dostawcę.
341f31d.png)