Kaspersky Lab: zagrożenia internetowe I kw. 2010

Przeczytaj także: Zaawansowane i ukierunkowane cyberataki 2013

O exploicie Aurora (7,58%) opinia publiczna dowiedziała się w styczniu tego roku - wydarzenie to nie uszło uwadze cyberprzestępców. Microsoft sporo spóźnił się z publikacją tej łaty, i tylko najleniwsi hakerzy nie skorzystali z możliwości wykorzystania tej luki, zanim została usunięta.

Niepokojąca jest historia rodziny exploitów CVE-2010-0806, ponieważ jej rozpowszechnienie wiąże się z nazbyt szczegółowym opisem luki opublikowanym przez pracownika firmy z branży bezpieczeństwa IT. Pracownik ten ujawnił domenę, z której przeprowadzane były ataki, jak również nazwę plików wykorzystywanych w atakach (notes.exe and svohost.exe). Naturalnie, ujawnienie pełnych szczegółów dotyczących tego ataku umożliwiło ekspertom uzyskanie próbek programu i stworzenie sygnatur. Z drugiej strony, takie informacje mogą wpaść w ręce cyberprzestępców. W branży istnieje niepisana zasada, do której eksperci na ogół stosują się: jeżeli w domenie znajdują się aktywne zagrożenia, należy ukryć część nazwy domeny. Niestety, opublikowane informacje były wystarczająco szczegółowe, aby umożliwić szybkie stworzenie exploita PoC Metasploit, który został szeroko rozpowszechniony za pośrednictwem MS Internet Explorera w wersji 6 i 7.

Interesujące jest to, że wśród najpopularniejszych exploitów znalazła się rodzina Smid. Programy Smid mogą być uruchomione na wielu różnych platformach oraz wykorzystać lukę w zabezpieczeniach Sun Microsystems Java (CVE-2009-3867). Na przykład, wariant Exploit.OSX.Smid.b działa w systemie Windows, MacOS oraz systemach operacyjnych *nix oraz generuje odsyłacz do zagrożenia w zależności od rodzaju wykorzystywanego system operacyjnego. Następnie, po wywołaniu funkcji ‘getSoundbank’, odsyłacz ten jest przesyłany jako wymagany parametr. Rezultatem jest przepełnienie bufora oraz wykonanie kodu powłoki. W przyszłości możemy spodziewać się częstszego tworzenia zagrożeń wieloplatformowych przez szkodliwych użytkowników.

Należy zauważyć, że bezpieczeństwo przeglądarki jest tylko jednym z kryteriów bezpieczeństwa internetowego, niekoniecznie tym najważniejszym. Do przeprowadzenia ataku cyberprzestępcy wykorzystają dowolną przeglądarkę - nawet taką, która nie posiada żadnych luk w swoim kodzie - na przykład poprzez wykorzystanie luk w zabezpieczeniach odtwarzaczy multimedialnych, programach do przeglądania dokumentów PDF oraz dodatkach do przeglądarki. Problem luk w dodatkach nadal jest krytyczny i nie może zostać rozwiązany przez samych producentów przeglądarek. Jeżeli posiadasz na swoim komputerze odtwarzacz Flash lub program do przeglądania dokumentów PDF zawierający luki, wtedy nie ma znaczenia, jakiej przeglądarki używasz, Twój komputer i tak będzie podatny na infekcje.

Trzeba pamiętać, że podstawowym sposobem ochrony komputerów użytkowników przed exploitami jest instalowanie wszystkich łat natychmiast po ich opublikowaniu. Dodatkową ochronę dostarczają wbudowane w przeglądarki filtry, których celem jest blokowanie phishingu oraz zainfekowanych stron internetowych (Mozilla Firefox 3.5, Internet Explorer 8.0 oraz Chrome 2.0). Filtry te uniemożliwiają użytkownikom odwiedzanie zainfekowanych stron internetowych, które zawierają exploity dla znanych lub nieznanych luk w zabezpieczeniach lub które wykorzystują metody socjotechniki w celu kradzieży danych osobistych. W celu uzyskania niezawodnej ochrony użytkownicy powinni zainstalować i uruchomić produkt antywirusowy, który oferuje regularne aktualizacje antywirusowych baz danych. Istotne jest to, aby program antywirusowy skanował ruch internetowy.