Нов пропуск в сигурността на Windows XP SP2

[Malone]

SP2's data execution protection cracked

Robert Lemos

CNET News.com

January 31, 2005, 09:30 GMT



A Russian security firm has published a paper detailing a major security flaw in Microsoft Service Pack Two for Windows XP, over a month after alerting Redmond to the flaw



A Russian security company claims it found a way to beat a security measure in Microsoft's Windows XP Service Pack 2.



The SP2 measure, known as Data Execution Protection, is intended to prevent would-be attackers from inserting rogue code into a PC's memory and tricking Windows into running the program. However, in a paper published on Friday, Moscow-based Positive Technologies said two minor mistakes in the implementation of the technology allow a knowledgeable programmer to sidestep the protection.



The company notified Microsoft of the problem on 22 December, but it apparently decided not to wait for the software giant to patch the flaws.



Neither Microsoft nor Positive Technologies immediately responded to requests for comment on Friday.



After several delays, Microsoft began rolling out SP2 in August of last year, at which time company chairman Bill Gates called the update "a significant step in delivering on our goal to help customers make their PCs better isolated and more resilient in the face of increasingly sophisticated attacks."



Problem

In October 2004 it was discovered by MaxPatrol team that it is possible to defeat Microsoft® Windows® XP SP2 Heap protection and Data Execution Prevention mechanism. As a result it is possible to implement:



Arbitrary memory region write access (smaller or equal to 1016 bytes)

1. Arbitrary code execution

2. DEP bypass.



Details are described in the article by experts



Solution

As a temporary security measure we've developed simple utility PTmsHORP, which allows restriction of lookaside list creation, governed by a special global flag.

Download PTmsHORP (21 Kb)

During the first execution this program shows the list of applications which already have this flag set. In order to activate this safety flag for other applications you just need to add the name of the executable file to the list. Any time you can review or modify the list of protected applications by running PTmsHORP again.



<font color="red">Warning. The flag, while enabled, may decrease the application performance.</font id="red">



Източник 1

Източник 2

[ru-boy]

Ми ще чакаме SP3 в скоро време :-)))

[Malone]

Май, май ...

Това пишат и песимистично настроените руски девелопъри. След официалното писмо до Microsoft от Positive Technologies на 22 Декември миналата година до настоящия момент не е предприето нищо от Microsoft.



Единственото, което са направили и да пуснат официално писмо до Positive Technologies след предоставянето на информацията на всички публични портали за които това би било интересно. Писмото е в тон "Не е добре да постъпвате така", въпреки едномесечното си мълчание и чадър върху темата от Microsoft.



За който разбира руски:

Просто в момента нямам възможност да го преведа.



Российские технари уличили Microsoft в беспомощности



Специалисты российской компании Positive Technologies обнаружили серьезную уязвимость в пакете обновлений Windows XP Service Pack 2. Оказалось, что в этом обновлении не работают механизмы предотвращения выполнения данных (Data Execution Protection, DEP) - то, ради чего SP2 собственно и выпускался. Самое парадоксальное в этой ситуации то, что ни Microsoft, ни крупнейшие порталы по информационной безопасности не стали публиковать эту информацию, мотивировав это намерениями избежать панических настроений среди пользователей ПК.



Наличие уязвимости в Windows XP Service Pack 2, дающее возможность обхода встроенных механизмов защиты от переполнения кучи и выполнения кода в области данных, было обнаружено российскими специалистами еще в декабре прошлого года. Как рассказал CNews технический директор Positive Technologies Юрий Максимов, сразу после этого сотрудники компании связались с представительством корпорации Microsoft. Последним были предоставлены PoC-коды (Proof-of-Concept, подтверждение возможности злонамеренного использования уязвимости). В корпорации подтвердили получение информации и намерение исследовать обнаруженную проблему, однако больше никаких шагов в этом направлении не предпринимали.



«Поскольку эта уязвимость не вызывает предпосылок для образования автоматически распространяемых вирусов, но при этом может быть критичной для специалистов, рассчитывающих на встроенную систему безопасности при использовании определённых аппаратных комплексов, мы сочли возможным опубликовать сообщение об обнаруженной проблеме и предложить утилиту для её устранения, — рассказал г-н Максимов. — На реакцию Microsoft мы уже и не рассчитывали, но у нас возникло опасение, что эту уязвимость могут своими силами раскопать и хакерские группы». Г-н Максимов отметил, что, как правило, реакция Microsoft на сообщения разработчиков систем информационной безопасности, в случае, если речь не идёт о сверхкритических уязвимостях, которыми могут воспользоваться хакеры, занимает 3–6 месяцев, что является неоправданно продолжительным сроком. Стоит отметить, что Билл Гейтс, председатель совета директоров Microsoft и основатель компании, постоянно заявляет о том, что приоритетом для его детища является безопасность — программных продуктов, интернета в целом и пр. Очередное из серии подобных заявлений г-н Гейтс сделал перед журналистами в США не далее как вчера.



Сообщение об уязвимости SP2 было разослано в различные организации, в том числе и CERT. Примечательно, что портал Security Focus, афиллиированный с крупнейшим мировым производителем антивирусного ПО корпорацией Symantec, не стал размещать это сообщение. Как предполагают в Positive Technologies, это было сделано по «политическим» соображениям. По данным CNews, сообщения об уязвимостях в продуктах крупных разработчиков на подобных порталах публикуются только после согласования.



«Реакция Microsoft поступила через несколько часов после того, как мы направили всем заинтересованным организациям письма, — рассказывает Юрий Максимов. — Представители корпорации попросили не публиковать информацию, ссылаясь на то, что еще не знают, как её оценивать и опасаются коллапса. Однако информация была разослана и поток публикаций нельзя было остановить. В Microsoft выразили сожаление по этому поводу и попросили в следующий раз так не делать». Получается, что предотвращение распространения информации об уязвимости является для корпорации не менее важным делом, чем устранение проблем с ПО.



По оценкам экспертов, наличие уязвимости с механизмом DEP, является скорее ударом по имиджу корпорации, нежели серьёзной технической проблемой: «На создание патча для SP2 разработчикам Microsoft потребовались бы считанные часы, но делать заплатку для заплатки, очевидно, — ниже достоинства корпорации». Стоит отметить, что по словам г-на Максимова, утилиту для устранения уязвимости в SP2 уже скачали несколько десятков тысяч пользователей, не только в Рунете.



«Реакция Microsoft на заявление Positive Technologies об обнаруженной уязвимости в SP2 не делает чести крупнейшему разработчику ПО. Возникает мысль о том, что компания во главу угла ставит свои маркетинговые интересы, а лишь затем заботится о безопасности своих продуктов», — высказал своё мнение Роман Боровко, эксперт CNews Analytics.



В представительстве Microsoft корреспонденту CNews сообщили, что механизм реакции на сообщения сторонних разработчиков об уязвимостях является закрытой информацией. Там подтвердили принятие информации Positive Technologies к сведению: "Сейчас ведется работа над тем, чтобы новый кумулятивный патч устранял и эту уязвимость. Также, мы хотели бы выразить благодарность компании Positive Technologies за предоставленную информацию, разработку и публикацию решения, устраняющего эту уязвимость"

[Vandal]

Аз го приемам за абсолютно нормално.

И SP3 и 4 и.... винаги ще се открие някаква дупка.

Все пак софта от хора се пише.Технологиите на всеки пет шест месеца остаряват,а това значи че и хората стават все по-изобретателни и надявам се, все по-образовани.

Така че ОС 100% сигурна никога няма да има.

По-скоро сензацията би била от рода на "Измина една година, а все още никой не е открил дупка в сигурноста на Windows еди кой си" )

[Malone]

Vandal не е проблема в "дупката" братле, а в пълното мълчание на Microsoft. Аз така го приемам.

[sclera_bg]

Ами Microsoft мълчат защото са в "цунгцванг" (понятие от шаха - липса на полезен ход) - каквото и да направят все са в неизгодна позиция.



//off: Така стана и с продаването на булгартабак - каквото и да беше направило правителството, все го чакаше "вот на недоверие"

[Vandal]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Vandal не е проблема в "дупката" братле, а в пълното мълчание на Microsoft. Аз така го приемам.



<div align="right">Originally posted by Malone*-*02/02/2005*:* 23:45:09</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Е тук съм съгласен.