Apple, Google, Microsoft, Samsung et d'autres sociétés ont rapidement répondu à la fuite des documents de la CIA avec une description détaillée des outils de piratage et des dizaines de vulnérabilités 0day dans les programmes et appareils populaires.

L'un des premiers à signaler hier soir était les développeurs de l'éditeur de texte Notepad ++, que la CIA a exploité via des DLL d'usurpation . Cet éditeur prend en charge la coloration syntaxique pour différents langages de programmation, donc même certains développeurs l' utilisent.

Les documents de Vault 7 mentionnaient l'usurpation de DLL dans Notepad ++. Plus précisément, l'un des développeurs ou testeurs de l'exploit se plaint d'un petit problème avec le travail de l'exploit fini. Comme mentionné dans cette note , Notepad ++ télécharge Scintilla - le "composant d'édition de code" (un projet distinct) à partir de la bibliothèque dynamique SciLexer.dll, à côté du fichier exécutable. Une seule fonction est exportée de cette bibliothèque appelée Scintilla_DirectFunction .

Le spécialiste cite le code open source Notepad ++ pour déterminer le prototype de la fonction exportée:

 sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam) 

Le programmeur ou testeur admet qu'il ne parvient pas à accéder à cette fonction en aucune façon, bien qu'il ait même installé des plugins supplémentaires qui devraient être en contact direct avec Scintilla. Dans le même temps, il indique clairement que le prototype actuel [avec la substitution de la bibliothèque SciLexer.dll] fonctionne bien - et exprime l'espoir que ses collègues résoudront également ce problème.

Les développeurs de Notepad ++ littéralement le lendemain de la fuite de documents ont publié une nouvelle version de Notepad ++ 7.3.3 , où ils ont résolu le problème du remplacement de la DLL d'origine par la bibliothèque CIA SciLexer.dll, qui effectue la collecte de données en arrière-plan.

Le problème a été résolu radicalement. Désormais, à partir de la version 7.3.3, l'éditeur vérifiera le certificat de la bibliothèque SciLexer.dll avant de le télécharger. Si le certificat est manquant ou invalide, la bibliothèque ne se chargera pas - et l'éditeur Notepad ++ lui-même ne fonctionnera pas.

La vérification des certificats n'est pas une protection absolue. Les développeurs du programme remarquent correctement que si un attaquant a accès à un ordinateur, il peut formellement faire quoi que ce soit avec des composants du système. Cette protection empêche simplement l'éditeur de texte de charger la bibliothèque malveillante. Mais personne ne dérange la CIA pour remplacer, par exemple, pas une bibliothèque, mais immédiatement l'intégralité du fichier exécutable notepad++.exe , si la CIA contrôle l'ordinateur.

Les développeurs comparent cette mesure de protection avec l'installation d'une serrure sur la porte d'entrée. Il est clair que la serrure de la porte ne protège pas contre les personnes qui ont vraiment besoin d'entrer, mais il est toujours d'usage de verrouiller la porte chaque fois que vous quittez la maison.

Autres programmes populaires

Le hack pour Notepad ++ faisait partie de l'opération Fine Dining, dans laquelle la CIA a publié des exploits pour divers programmes populaires. Au total, la liste Fine Dining répertorie les modules pour 24 applications . Pour la plupart d'entre eux, l'usurpation de DLL a été effectuée.

• VLC Player Portable
• Vue Irfan
• Chrome portable
• Opera portable
• Firefox portable
• Clamwin portable
• Kaspersky TDSS Killer Portable
• McAfee Stinger Portable
• Suppression de virus Sophos
• Thunderbird portable
• Opera Mail
• Lecteur Foxit
• Libre office portable
• Prezi
• Coussin Babel
• Bloc-notes ++
• Skype
• Sauvegarde Iperius
• Accès sécurisé Sandisk
• Logiciel U3
• 2048
• Lbreakout2
• Portable à 7 zips
• Invite CMD Linux portable

Bien sûr, la CIA a des exploits beaucoup plus avancés. Par exemple, avec l'introduction d'un rootkit dans le noyau du système d'exploitation, une infection du BIOS, etc. Mais cet exemple montre que les scouts n'ont pas abandonné les méthodes plus simples et moins avancées technologiquement, telles que l'usurpation de DLL. Peut-être que ces exploits simples ont été développés par des stagiaires débutants ou des entrepreneurs tiers.

Il est clair qu'il est impossible de se protéger complètement de la surveillance du gouvernement - ils ont trop de ressources. Mais s'il est en notre pouvoir de supprimer une sorte de vulnérabilité, vous devez le faire, malgré la futilité générale du processus.

D'une manière ou d'une autre, mais d'autres éditeurs de logiciels ont également rendu compte des mesures prises.

Apple a déclaré que bon nombre des vulnérabilités de ses appareils et logiciels qui sont mentionnées dans les documents ne sont plus pertinentes, c'est-à-dire qu'elles sont absentes dans la dernière version d'iOS. Évidemment, les "trous" restants seront corrigés dans les prochaines versions.

Microsoft a commenté : "Nous connaissons les documents et les étudions."

Samsung , dont la CIA a piraté les téléviseurs de la série F8000, a déclaré : "Nous sommes au courant du rapport et étudions d'urgence ce problème."

Le directeur de la sécurité de l'information et de la confidentialité de Google s'est déclaré convaincu que les dernières mises à jour de sécurité de Chrome et d'Android devraient protéger les utilisateurs contre la plupart des vulnérabilités mentionnées dans les documents: "Notre analyse est en cours et nous mettrons en œuvre toutes les mesures de sécurité nécessaires."

UPD: Julian Assange a déclaré aujourd'hui que les entreprises technologiques auront un accès exclusif aux exploits de la CIA avant qu'ils ne soient accessibles au public.