Ruskí hackeri predávali WMF exploit za 4 000 dolárov, tvrdí expert

Bezpečnostný špecialista z Kaspersky Labs na stránkach eWeek zároveň poznamenáva, že náznaky existencie exploitu zneužívajúceho rizikovú (a

medzičasom zaplátanú) chybu vo Windows sa objavili už oveľa skôr pred publikovaním chyby.

Hoci o hrozbe takzvaných zero-day WMF (Windows Metafile) útokov sa začalo verejne hovoriť až na sklonku decembra minulého roka, exploit na uvedenú bezpečnostnú chybu bol známy už dlhšie a predával sa ruskými hackerskými skupinami potenciálnym záujemcom za 4 000 dolárov. Tvrdí to bezpečnostný expert Alexander Gostev, pôsobiaci ako vírusový analytik u bezpečnostnej firmy Kaspersky Labs.

Ako uvádza ďalej eWeek (téme sa venoval ešte o. i CNET News), prvé náznaky evidencie exploitu boli vystopované už v polovici decembra 2005, teda celé dva týždne predtým, ako antivírusové spoločnosti začali oficiálne publikovať správy o zneužívaní WMF súborov k spusteniu rizikového kódu a prípadného ovládnutia cieľového systému. „Jeden z dôležitých aspektov celého problému je, že bezpečnostná trhlina bola prvýkrát identifikovaná skupinami počítačového podsvetia, poznamenáva Gostev.

„V polovici decembra sa dal uvedený exploit kúpiť na viacerých špecializovaných stránkach. Dve alebo tri hackerské skupiny z Ruska ho predávali po 4 000 USD, dodáva bezpečnostný expert. Samotná možnosť zneužitia bezpečnostnej chyby mala byť podľa Gosteva detekovaná už okolo prvého decembra (neznámou osobou), no trvalo niekoľko dní kým uzrel svetlo sveta exploit.

Jim Melnick z iDefense tvrdenia Gosteva viac-menej podporil. Podľa Melnicka zaznamenali určitú aktivitu na ruských stránkach. Podľa všetkého bol najskôr exploit vyskúšaný na malých cielených útokoch, kým sa celý problém celosvetovo medializoval. Na sklonku posledného mesiaca v roku, 27. decembra, sa na mailing liste Bugtraq sa objavila (prvá) správa, že na webových stránkach sa objavujú rizikové WMF súbory, ktoré prechádzajú cez sito antivírusových skenerov:

„Warning the following URL successfully exploited a fully patched windows xp system with a freshly updated norton anti virus, vložená autorom „noemailplsnoemail.ziper. Správa obsahovala i URL odkaz na príslušný spustiteľný exploit. Od 29. decembra po prvý januárový týždeň 2006 sa objavilo viac než tisíc rizikových WMF obrázkov.

Výsledkom zverejnenia kritickej bezpečnostnej chyby bolo aj vydanie neoficiálnych záplat neoficiálnej záplaty resp. záplat aj oficiálnej záplaty od Microsoftu, ktorá nakoniec vyšla vzhľadom na svoju dôležitosť mimo plánovaný cyklus vydávania záplat. Microsoft z problému plánuje vyvodiť poučenie a chce revidovať svoje kódy, aby sa podľa možnosti podobná situácia neopakovala.

Autor: erik

Najdôležitejšie správy z východu Slovenska čítajte na Korzar.sme.sk.