Баг у криптографічній бібліотеці виводить з ладу Windows-сервери

Дослідник безпеки з Google Project Zero Тевіс Орманді (Tavis Ormandy) повідомив подробиці про уразливість в криптографічній бібліотеці Windows. Проблема зачіпає версії ОС, починаючи з Windows 8, і дозволяє викликати відмову в обслуговуванні будь-якого Windows-сервера.

Уразливість зачіпає SymCrypt – один з проектів з відкритим вихідним кодом компанії Microsoft, який став її головною криптографічного бібліотекою для симетричних алгоритмів, починаючи з Windows 8. У Windows 10 (1703) SymCrypt також є головною бібліотекою для асиметричних алгоритмів.

Орманді створив сертифікат X.509, що запускає уразливість і ініціює стан відмови в обслуговуванні на будь-якому Windows-сервері. В результаті для відновлення роботи сервера потрібно перезавантаження.

“У високоточних арифметичних процесах SymCrypt існує уразливість, здатна запускати нескінченну петлю під час обчислення модульної інверсії на певних бітових комбінаціях з bcryptprimitives! SymCryptFdefModInvGeneric”, – пояснив дослідник.

Згідно політикою Google Project Zero, на усунення уразливості Microsoft було відведено термін в 90 днів. Однак, як повідомляє видання ZDNet, у вівторок, 11 червня, команда Microsoft Security Response Center (MSRC) повідомила Google про те, що не зможе випустити виправлення до виходу липневих планових оновлень безпеки через помилки, виявлені під час тестування.

В черговий раз причиною проблеми стала взаємодія Windows з рішеннями безпеки. Як з’ясував Орманді, якщо впровадити сертифікат в повідомлення S/MIME, технологію підпису коду Authenticode, канал зв’язку тощо, то можна викликати відмову в обслуговуванні сервера (ipsec, iis, exchange й інших).

“Очевидно, що багато програм, що обробляють сторонній контент (наприклад, антивіруси), викликають ці процеси для недовірених даних, і це призводить до їх взаємного блокування”, – повідомив дослідник.

Нагадаємо, що команда дослідників з США, Австралії та Австрії розробила новий варіант атаки Rowhammer. На відміну від попередніх версій нова атака під назвою RAMBleed дозволяє не тільки модифікувати дані і підвищувати привілеї, а й викрадати збережені на пристрої дані.

До речі, застаріле шкідливе програмне забезпечення ICEFOG (інша назва Fucobha), яке вважали таким, що зникло, знову з’явилося в арсеналі кіберзлочинців.

Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.