Geekly articles weekly

Los fabricantes de software cierran masivamente las vulnerabilidades utilizadas por la CIA



Apple, Google, Microsoft, Samsung y otras compañías respondieron rápidamente a la filtración de documentos de la CIA con una descripción detallada de las herramientas de piratas informáticos y docenas de vulnerabilidades de 0 días en programas y dispositivos populares.

Uno de los primeros en informar anoche fueron los desarrolladores del editor de texto Notepad ++, que la CIA explotó a través de la suplantación de DLL . Este editor admite resaltado de sintaxis para diferentes lenguajes de programación, por lo que incluso algunos desarrolladores lo usan.

Los documentos de Vault 7 mencionaron la suplantación de archivos DLL en Notepad ++. Más precisamente, uno de los desarrolladores o probadores del exploit se queja de un pequeño problema con el trabajo del exploit terminado. Como se menciona en esta nota , Notepad ++ descarga Scintilla, el "componente de edición de código" (un proyecto separado) de la biblioteca dinámica SciLexer.dll, adyacente al archivo ejecutable. Solo se exporta una función de esta biblioteca llamada Scintilla_DirectFunction .

El especialista cita el código Notepad ++ de código abierto para determinar el prototipo de la función exportada:

 sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam)

El programador o probador admite que no logra acceder a esta función de ninguna manera, aunque incluso instaló complementos adicionales que deberían estar en contacto directo con Scintilla. Al mismo tiempo, deja en claro que el prototipo actual [con la sustitución de la biblioteca SciLexer.dll] funciona bien, y expresa la esperanza de que sus colegas también resuelvan este problema.

Los desarrolladores de Notepad ++ literalmente el día después de la filtración de documentos lanzaron una nueva versión de Notepad ++ 7.3.3 , donde resolvieron el problema de reemplazar la DLL original con la biblioteca CIA SciLexer.dll, que realiza la recopilación de datos en segundo plano.

El problema se resolvió radicalmente. Ahora, desde la versión 7.3.3, el editor verificará el certificado de la biblioteca SciLexer.dll antes de descargarlo. Si falta el certificado o no es válido, la biblioteca no se cargará y el editor Notepad ++ en sí no funcionará.

La verificación del certificado no es protección absoluta. Los desarrolladores del programa notan correctamente que si un atacante obtiene acceso a una computadora, entonces puede hacer algo formalmente con los componentes del sistema. Esta protección simplemente evita que el editor de texto cargue la biblioteca maliciosa. Pero nadie molesta a la CIA para reemplazar, por ejemplo, no una biblioteca, sino inmediatamente todo el archivo ejecutable notepad++.exe , si la CIA controla la computadora.

Los desarrolladores comparan esta medida de protección con la instalación de una cerradura en la puerta principal. Está claro que la cerradura de la puerta no protege contra las personas que realmente necesitan entrar, pero aún así es habitual cerrar la puerta cada vez que sale de la casa.

Otros programas populares


El truco para Notepad ++ fue parte de la operación Fine Dining, en la cual la CIA lanzó exploits para varios programas populares. En total, la lista Fine Dining enumera los módulos para 24 aplicaciones . Para la mayoría de ellos, se realizó el spoofing de DLL.

  • VLC Player Portable
  • Vista de Irfan
  • Chrome portátil
  • Opera portable
  • Firefox portátil
  • Clamwin portátil
  • Kaspersky TDSS Killer Portable
  • McAfee Stinger Portable
  • Eliminación de virus Sophos
  • Thunderbird portable
  • Opera Mail
  • Lector Foxit
  • Libre portátil de oficina
  • Prezi
  • Babel pad
  • Notepad ++
  • Skype
  • Copia de seguridad de Iperius
  • Acceso seguro Sandisk
  • Software U3
  • 2048
  • Lbreakout2
  • 7-zip portátil
  • Indicador CMD portátil de Linux

Por supuesto, la CIA tiene exploits mucho más avanzados. Por ejemplo, con la introducción de un rootkit en el kernel del sistema operativo, infección del BIOS, etc. Pero este ejemplo muestra que los exploradores no abandonaron métodos más simples y menos avanzados tecnológicamente, como la suplantación de DLL. Quizás estas simples hazañas fueron desarrolladas por pasantes novatos o contratistas externos.

Está claro que es imposible protegerse por completo de la vigilancia del gobierno, ya que tienen demasiados recursos. Pero si está dentro de nuestro poder cerrar algún tipo de vulnerabilidad, debe hacerlo, a pesar de la inutilidad general del proceso.

De una forma u otra, pero otros proveedores de software también informaron sobre las medidas tomadas.

Apple dijo que muchas de las vulnerabilidades en sus dispositivos y software que se mencionan en los documentos ya no son relevantes, es decir, están ausentes en la última versión de iOS. Obviamente, los "agujeros" restantes serán parcheados en los próximos lanzamientos.

Microsoft comentó : "Conocemos los documentos y los estudiamos".

Samsung , cuya CIA pirateó los televisores de la serie F8000, dijo : "Somos conscientes del informe y estamos estudiando este problema con urgencia".

El Director de Seguridad y Privacidad de la Información de Google expresó su confianza en que las últimas actualizaciones de seguridad de Chrome y Android deberían proteger a los usuarios de la mayoría de las vulnerabilidades mencionadas en los documentos: "Nuestro análisis está en curso e implementaremos las medidas de seguridad necesarias".

UPD: Julian Assange dijo hoy que las compañías de tecnología tendrán acceso exclusivo a las hazañas de la CIA antes de que estén disponibles públicamente.

Source: https://habr.com/ru/post/es402161/

More articles:


All Articles