Apple, Google, Microsoft, Samsung и още много други компании бързо реагираха на изтичането на документите от ЦРУ, с подробни описания на хакерските инструменти и десетки 0day уязвимости в едни от най-популярните програми и устройства.

Едни от първите, които съобщиха през изминалата нощ, че са оправили бъг, посочен в пакета документи Vault 7 на WikiLeaks, бяха създателите на изключително популярния текстов редактор Notepad++, който е използван от ЦРУ чрез подмяна на DLL. Този редактор оцветява синтаксиса на програмните езици, може да проверява правописа на няколко езика едновременно и е много популярен сред програмистите и потребителите.

В документите Vault 7 се описва подмяната на DLL в Notepad++. По-точно, един от създателите или тестерите на експлойта се оплаква от неголям проблем в работата на вече готовия експлойт. В документа на WikiLeaks съвсем точно е описано, че Notepad++ зарежда Scintilla – компонент за редактиране на кода от динамичната библиотека SciLexer.dll, използвана от изпълнимия файл. От тази библиотека се експортира само една функция с име Scintilla_DirectFunction.

Специалистът цитира отворения код на Notepad++ за определяне прототипа на експортируемата функция:

sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)

Създателят на подслушващия код се оплаква, че не може да извика тази функция, въпреки че е използвал допълнителни плъгини за директна работа със Scintilla. Но в същото време добавя, че обикновената отдалечена подмяна на библиотеката SciLexer.dll работи добре и се надява, че неговите колеги ще изгладят проблема.

Създателите на Notepad++ буквално на следващия ден след изтичането на секретните документи представиха новата версия Notepad++ 7.3.3, в която проблемът е решен и оригиналната библиотека SciLexer.dll вече няма как да бъде заменена със същата SciLexer.dll, но от ЦРУ, която събира маса данни във фонов режим.

Проблемът е решен кардинално. От версия Notepad++ 7.3.3 и по-нова, редакторът проверява сертификата на библиотеката SciLexer.dll преди нейното зареждане. Ако сертификатът отсъства или е недействителен, редакторът не работи.

В някои уеб-портали се появи информация, че е не лоша идея файлът SciLexer.dll да се вземе от версия Notepad++ 7.3.3 и да се презапише върху по-старата и навярно компрометирана версия на файла в директорията на Notepad. Това е удобно, ако по някаква причина потребителят предпочита да използва по-стара версия на Notepad++.

Програмистите на Notepad++ сравняват тази защита с поставянето на секретна брава на входната врата. Тя не би могла да ви защити от хората, които наистина искат да проникнат в дома ви, но осигурява достатъчна защита, когато отсъствате или сте заети с нещо друго.

Други популярни програми

Редакторът Notepad++ е част от операцията Fine Dining, в рамките на която ЦРУ е реализирало експлойти за различните популярни програми. В списъка на Fine Dining са включени експлойти или подслушващи модули за 24 софтуерни продукта. При повечето от тях се използва подмяна на DLL библиотека.

Ето го и самият списък, който навярно ще учуди и ще продължи да учудва много хора:

  • VLC Player Portable
  • Irfan View
  • Chrome Portable
  • Opera Portable
  • Firefox Portable
  • ClamWin Portable
  • Kaspersky TDSS Killer Portable
  • McAfee Stinger Portable
  • Sophos Virus Removal
  • Thunderbird Portable
  • Opera Mail
  • Foxit Reader
  • Libre Office Portable
  • Prezi
  • Babel Pad
  • Notepad++
  • Skype
  • Iperius Backup
  • Sandisk Secure Access
  • U3 Software
  • 2048
  • LBreakout2
  • 7-Zip Portable
  • Portable Linux CMD Prompt

Естествено, ЦРУ разполага и с много по-съвършени експлойти. Като например инжектирането на рууткит в ядрото на операционната система, инфектиране на BIOS и т.н. Но този пример показва, че разузнаването не се отказва от по-простичките и не толкова технологични методи, какъвто е подмяната на DLL. Предполага се, че тези съвсем опростени експлойти се създават от стажантите или чрез някаква външна поръчка.

Всички разбират, че цялостната защита от следенето от страна на правителството не е възможна – държавата разполага с твърде голям ресурс. Но ако е по силите да се запуши някоя уязвимост, то това е по-добре да се направи, въпреки че изглежда безполезно.

Така или иначе, и другите софтуерни компании обявиха, че са предприели мерки срещу публикуваните от WikiLeaks използвани уязвимости и специализирани хакерски инструменти.

Apple заяви, че много от уязвимостите, посочени във Vault 7 вече не са актуални и не присъстват в последната версия на iOS. Очевидно е, че останалите уязвимости ще бъдат пачнати със следващите обновявания.

Microsoft коментира Vault 7 по следния начин: „Видяхме документите и в момента ги изучаваме“.

Samsung, при която ЦРУ хакна смарт телевизорите от фамилията F8000 заяви: „Запознахме се с отчета и спешно изучаваме въпроса“.

Google изрази увереност, че последните обновявания по безопасността за Chrome и Android ще защитят потребителите от посочените в документа уязвимости. „Нашият анализ продължава и ние вземаме необходимите мерки“.

А преди няколко часа се появи информация, че Джулиан Асанж е казал, че големите технологични компании ще получат ексклузивен достъп до експлойтите на ЦРУ, малко преди WikiLeaks да ги публикува пред широката общественост.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари