Apple, Google, Microsoft, Samsung und andere Unternehmen reagierten schnell auf das Durchsickern von CIA-Dokumenten mit einer detaillierten Beschreibung der Hacker-Tools und Dutzenden von 0-Tage-Sicherheitslücken in beliebten Programmen und Geräten.

Einer der ersten, der gestern Abend Bericht erstattete, waren die Entwickler des Notepad ++ - Texteditors, den die CIA durch Spoofing von DLLs ausnutzte. Dieser Editor unterstützt die Syntaxhervorhebung für verschiedene Programmiersprachen, sodass sie auch von einigen Entwicklern verwendet wird.

In den Vault 7-Dokumenten wurde das Spoofing von DLLs in Notepad ++ erwähnt. Genauer gesagt beschwert sich einer der Entwickler oder Tester des Exploits über ein kleines Problem mit der Arbeit des fertigen Exploits. Wie in diesem Hinweis erwähnt , lädt Notepad ++ Scintilla - die "Code-Bearbeitungskomponente" (ein separates Projekt) - aus der dynamischen Bibliothek SciLexer.dll neben der ausführbaren Datei herunter. Aus dieser Bibliothek wird nur eine Funktion namens Scintilla_DirectFunction exportiert.

Der Spezialist zitiert den Open Source Notepad ++ - Code, um den Prototyp der exportierten Funktion zu bestimmen:

 sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam) 

Der Programmierer oder Tester gibt zu, dass er in keiner Weise auf diese Funktion zugreifen kann, obwohl er sogar zusätzliche Plugins installiert hat, die in direktem Kontakt mit Scintilla stehen sollten. Gleichzeitig macht er deutlich, dass der aktuelle Prototyp [mit der Ersetzung der SciLexer.dll-Bibliothek] einwandfrei funktioniert - und drückt die Hoffnung aus, dass auch seine Kollegen dieses Problem lösen werden.

Die Entwickler von Notepad ++ veröffentlichten buchstäblich am Tag nach dem Durchsickern von Dokumenten eine neue Version von Notepad ++ 7.3.3 , in der sie das Problem lösten, die ursprüngliche DLL durch die CIA-Bibliothek SciLexer.dll zu ersetzen, die die Datenerfassung im Hintergrund durchführt.

Das Problem wurde radikal gelöst. Ab Version 7.3.3 überprüft der Editor das Zertifikat der SciLexer.dll-Bibliothek, bevor er es herunterlädt. Wenn das Zertifikat fehlt oder ungültig ist, wird die Bibliothek nicht geladen - und der Editor von Notepad ++ selbst funktioniert nicht.

Die Zertifikatsüberprüfung ist kein absoluter Schutz. Die Entwickler des Programms bemerken zu Recht, dass ein Angreifer, wenn er Zugriff auf einen Computer hat, mit Systemkomponenten formell alles daran tun kann. Dieser Schutz verhindert einfach, dass der Texteditor die schädliche Bibliothek lädt. Aber niemand stört die CIA, zum Beispiel nicht eine Bibliothek zu ersetzen, sondern sofort die gesamte ausführbare Datei notepad++.exe , wenn die CIA den Computer kontrolliert.

Entwickler vergleichen diese Schutzmaßnahme mit der Installation eines Schlosses an der Vordertür. Es ist klar, dass das Schloss an der Tür nicht vor Personen schützt, die wirklich hineingehen müssen, aber es ist dennoch üblich, die Tür jedes Mal zu verriegeln, wenn Sie das Haus verlassen.

Andere beliebte Programme

Der Hack für Notepad ++ war Teil der Fine Dining-Operation, bei der die CIA Exploits für verschiedene beliebte Programme veröffentlichte. Insgesamt listet die Fine Dining-Liste die Module für 24 Anwendungen auf . Für die meisten von ihnen wurde DLL-Spoofing durchgeführt.

• VLC Player tragbar
• Irfan Ansicht
• Chrome tragbar
• Opera tragbar
• Firefox tragbar
• Clamwin tragbar
• Kaspersky TDSS Killer Portable
• McAfee Stinger Portable
• Sophos Virus entfernen
• Thunderbird tragbar
• Opera Mail
• Foxit-Leser
• Libre Büro tragbar
• Prezi
• Babel Pad
• Editor ++
• Skype
• Iperius-Backup
• Sandisk sicherer Zugang
• U3-Software
• 2048
• Lbreakout2
• Tragbar mit 7 Reißverschlüssen
• Portable Linux CMD-Eingabeaufforderung

Natürlich hat die CIA viel fortgeschrittenere Exploits. Zum Beispiel mit der Einführung eines Rootkits in den Kernel des Betriebssystems, einer BIOS-Infektion usw. Dieses Beispiel zeigt jedoch, dass Scouts einfachere und weniger technologisch fortgeschrittene Methoden wie das Spoofing von DLLs nicht aufgegeben haben. Vielleicht wurden diese einfachen Exploits von unerfahrenen Praktikanten oder Fremdfirmen entwickelt.

Es ist klar, dass es unmöglich ist, sich vollständig vor der Überwachung durch die Regierung zu schützen - sie haben zu viele Ressourcen. Wenn es jedoch in unserer Macht steht, eine Art von Sicherheitslücke zu schließen, müssen Sie dies trotz der allgemeinen Sinnlosigkeit des Prozesses tun.

Auf die eine oder andere Weise berichteten aber auch andere Softwareanbieter über die ergriffenen Maßnahmen.

Apple sagte, dass viele der in den Dokumenten erwähnten Schwachstellen in seinen Geräten und Software nicht mehr relevant sind, dh in der neuesten Version von iOS fehlen. Offensichtlich werden die verbleibenden "Löcher" in den nächsten Versionen gepatcht.

Microsoft kommentierte : "Wir kennen die Dokumente und studieren sie."

Samsung , dessen CIA die Fernseher der F8000-Serie gehackt hat, sagte : "Wir sind uns des Berichts bewusst und untersuchen dieses Problem dringend."

Der Director of Information Security and Privacy von Google zeigte sich zuversichtlich, dass die neuesten Sicherheitsupdates für Chrome und Android die Nutzer vor den meisten in den Dokumenten genannten Sicherheitslücken schützen sollten: "Unsere Analyse ist noch nicht abgeschlossen und wir werden alle erforderlichen Sicherheitsmaßnahmen ergreifen."

UPD: Julian Assange sagte heute, dass Technologieunternehmen exklusiven Zugriff auf die CIA-Exploits haben werden, bevor sie öffentlich verfügbar sind.