Apple, Google, Microsoft, Samsung dan perusahaan lain dengan cepat bereaksi terhadap kebocoran dokumen CIA dengan deskripsi terperinci tentang alat peretas dan puluhan kerentanan 0 hari dalam program dan perangkat populer.

Salah satu yang pertama melaporkan kemarin malam adalah pengembang editor teks Notepad ++, yang dieksploitasi CIA melalui spoofing DLL . Editor ini mendukung penyorotan sintaks untuk berbagai bahasa pemrograman, sehingga bahkan beberapa pengembang menggunakannya.

Dokumen Vault 7 menyebutkan spoofing DLL di Notepad ++. Lebih tepatnya, salah satu pengembang atau penguji eksploitasi mengeluh tentang masalah kecil dengan pekerjaan eksploitasi selesai. Seperti disebutkan dalam catatan ini , Notepad ++ mengunduh Scintilla - "komponen pengeditan kode" (proyek terpisah) dari pustaka dinamis SciLexer.dll, bersebelahan dengan file yang dapat dieksekusi. Hanya satu fungsi yang diekspor dari perpustakaan ini yang disebut Scintilla_DirectFunction .

Spesialis mengutip kode Notepad ++ open source untuk menentukan prototipe fungsi yang diekspor:

 sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam) 

Programmer atau tester mengakui bahwa ia tidak dapat mengakses fungsi ini dengan cara apa pun, meskipun ia bahkan menginstal plugin tambahan yang harus bersentuhan langsung dengan Scintilla. Pada saat yang sama, ia menjelaskan bahwa prototipe saat ini [dengan penggantian perpustakaan SciLexer.dll] berfungsi dengan baik - dan menyatakan harapan bahwa rekan-rekannya akan menyelesaikan masalah ini juga.

Pengembang Notepad ++ secara harfiah sehari setelah kebocoran dokumen merilis versi baru Notepad ++ 7.3.3 , di mana mereka memecahkan masalah mengganti DLL asli dengan perpustakaan CIA SciLexer.dll, yang melakukan pengumpulan data di latar belakang.

Masalahnya terpecahkan secara radikal. Sekarang, dari versi 7.3.3, editor akan memeriksa sertifikat perpustakaan SciLexer.dll sebelum mengunduhnya. Jika sertifikat hilang atau tidak valid, perpustakaan tidak akan memuat - dan editor Notepad ++ itu sendiri tidak akan berfungsi.

Verifikasi sertifikat bukan perlindungan mutlak. Para pengembang program dengan benar memperhatikan bahwa jika seorang penyerang memperoleh akses ke komputer, maka ia dapat secara formal melakukan apa pun di dalamnya dengan komponen sistem. Perlindungan ini hanya mencegah editor teks memuat pustaka jahat. Tapi tidak ada yang mengganggu CIA untuk menggantikan, misalnya, bukan perpustakaan, tetapi segera seluruh file notepad++.exe dapat dieksekusi notepad++.exe , jika CIA mengontrol komputer.

Pengembang membandingkan tindakan perlindungan ini dengan pemasangan kunci di pintu depan. Jelas bahwa kunci di pintu tidak melindungi terhadap orang-orang yang benar-benar perlu masuk ke dalam, tetapi masih merupakan kebiasaan untuk mengunci pintu setiap kali Anda meninggalkan rumah.

Program populer lainnya

Retas untuk Notepad ++ adalah bagian dari operasi Fine Dining, di mana CIA merilis eksploit untuk berbagai program populer. Secara total, daftar Fine Dining mencantumkan modul untuk 24 aplikasi . Bagi sebagian besar dari mereka, spoofing DLL dilakukan.

• VLC Player Portable
• Tampilan Irfan
• Chrome portable
• Opera portable
• Firefox portable
• Clamwin portable
• Kaspersky TDSS Killer Portable
• McAfee Stinger Portable
• Penghapusan Virus Sophos
• Thunderbird portable
• Opera Mail
• Pembaca Foxit
• Kantor portabel
• Prezi
• Babel pad
• Notepad ++
• Skype
• Cadangan Iperius
• Sandisk akses aman
• Perangkat Lunak U3
• 2048
• Penghancuran2
• 7-zip portable
• Linux CMD Prompt Portabel

Tentu saja, CIA memiliki eksploitasi yang jauh lebih maju. Misalnya, dengan diperkenalkannya rootkit ke dalam kernel sistem operasi, infeksi BIOS, dll. Tetapi contoh ini menunjukkan bahwa pengintai tidak meninggalkan metode yang lebih sederhana dan kurang berteknologi maju, seperti DLL spoofing. Mungkin eksploitasi sederhana ini dikembangkan oleh pekerja magang pemula atau kontraktor pihak ketiga.

Jelas bahwa mustahil untuk sepenuhnya melindungi diri dari pengawasan oleh pemerintah - mereka memiliki terlalu banyak sumber daya. Tetapi jika itu berada dalam kekuatan kami untuk menutup beberapa jenis kerentanan, Anda perlu melakukan ini, meskipun prosesnya sia-sia.

Dengan satu atau lain cara, tetapi vendor perangkat lunak lain juga melaporkan tindakan yang diambil.

Apple mengatakan bahwa banyak kerentanan dalam perangkat dan perangkat lunaknya yang disebutkan dalam dokumen tidak lagi relevan, yaitu tidak ada dalam versi terbaru iOS. Jelas, "lubang" yang tersisa akan ditambal dalam rilis berikutnya.

Microsoft berkomentar : "Kami mengetahui dokumen dan mempelajarinya."

Samsung , yang CIA meretas TV seri F8000, mengatakan : "Kami mengetahui laporan ini dan sedang mempelajari masalah ini dengan mendesak."

Direktur Keamanan Informasi dan Privasi Google menyatakan keyakinannya bahwa pembaruan keamanan Chrome dan Android terbaru harus melindungi pengguna dari sebagian besar kerentanan yang disebutkan dalam dokumen: "Analisis kami sedang berlangsung dan kami akan menerapkan langkah-langkah keamanan yang diperlukan."

UPD: Julian Assange mengatakan hari ini bahwa perusahaan teknologi akan memiliki akses eksklusif ke eksploitasi CIA sebelum mereka tersedia untuk umum.