Новая уязвимость в ядре ОС Windows может стать причиной хакерских атак
![топ 100 блогов](/media/images/default.jpg)
Баг был обнаружен в компоненте ядра ОС, в файле win32k.sys, который отвечает за большое количество функционала ОС Windows, такого, как управление окнами или 2D графику. Данная специфическая уязвимость находится в компоненте, отвечающего за системный буфер обмена; если в буфер обмена поместить специальный вредоносный код, то можно частично навредить операционной системе или же полностью вывести её из строя. Раньше, когда Windows только развивалась, данный уязвимый компонент не работал в ней на уровне ядра. Он был помещён туда с выходом Windows NT 4.0 для того, чтобы сделать обработку 2D графики ещё более быстрой.
С тех пор модуль Win32k.sys оставался в ядре каждой последующей версии Windows, в результате чего сейчас выявленной уязвимости подвержены ОС Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, и Windows Server 2008 R2 – обе архитектуры, x86 и x64, а также в независимости от наличия или отсутствия установленных сервис паков (SP).
Представители корпорации Microsoft знают о данной уязвимости, однако до сих пор от софтверного гиганта не поступила информация о том, когда можно ждать специального патча, устраняющего дыру в собственном программном обеспечении Редмонда. Группа безопасности компании Secunia, принимая во внимание класс проблемы, оценила выявленную уязвимость как "не критичную". Данная оценка основана на тех фактах, что уязвимостью нельзя воспользоваться удалённо, а также в связи с тем, что использовать выявленный баг для выполнения вредоносного программного кода сможет только весьма продвинутый хакер.
Итак, в этом году Microsoft выпустила уже несколько патчей, устраняющих схожие уязвимости в ядре ОС Windows, а также в компоненте win32k.sys. Корпорация оценила все эти угрозы как "важные", так как злоумышленнику по-прежнему необходима авторизация, чтобы воспользоваться хотя бы одной из них. Тем временем исследователь Тевис Орманди (Tavis Ormandy) сделал кричащее заключение, что в этом году ОС Windows не протянула и нескольких дней без опубликованного факта об очередной незакрытой уязвимости в системном ядре.
Если с помощью этой уязвимости злоумышленник может обеспечить выполнение произвольного кода на компьютере, то, даже имея доступ к обычной учётной записи, он будет способен повысить её до уровня администратора системы. Это напрямую не увеличивает риск выявленной уязвимости – злоумышленнику всё ещё нужно проходить процесс авторизации пользователя – но этот факт делает данную уязвимость более полезной для преступника, так как позволяет обойти модель защиты известную как "песочница", которую используют веб-браузеры Internet Explorer и Chrome. Это, в свою очередь, увеличивает риск использования данных браузеров.
Данный случай напоминает технологию "двойного приёма", которую часто используют с продукцией компании Apple – iPhone и другими устройствами – когда вследствие уязвимости в браузере можно удалённо запустить вредоносный программный код в сочетании с использованием уязвимости ядра ОС.
Несмотря на то, что седьмая и восьмая версии браузера Internet Explorer, а также браузер Chrome используют модель песочницы в качестве защиты в среде ОС Windows Vista и Windows 7, типичные атаки на пользователей Windows не используют уязвимости в системном ядре для повышения привилегий. Зачем злоумышленникам проделывать такие сложные манипуляции, когда доля пользователей Windows XP является всё ещё доминирующей в мире, и большинство пользователей этой ОС работает с правами администратора – это намного более лёгкая "добыча" для любого хакера. Однако в последнее время стала наблюдаться тенденция, когда число пользователей Windows XP с каждым месяцем уменьшается, вследствие чего вскоре хакерами будет уделяться больше внимания таким уязвимостям, как недавно обнаружена в компоненте win32k.sys.