Большая Тёрка / Мысли / Личная лента Djorni /
Специалист по компьютерной безопасности из компании Google обнародовал результаты своих исследований, в ходе которых была обнаружена уязвимость, существующая в системах Windows уже 17 лет, с момента выпуска Windows NT 3.1.Оказывается, виртуальная DOS‑машина позволяет обычным 16-битным приложениям выполнять команды с максимальными привилегиями и вносить изменения в самые закрытые части операционной системы. Найденная уязвимость действует практически во всех актуальных 32-битных версиях Windows — от Windows 2000 до Windows 7 и Server 2008 (за исключением 2008 Server R2).
Автор открытия Тавис Орманди (Tavis Ormandy) обнаружил уязвимость в очень старом компоненте Windows, существующем во всех 32-битных версиях системы — это VDM (Virtual DOS Machine). С помощью механизма VDM непривилегированный пользователь может выполнять команды с самым высоким приоритетом. Теоретически, существует возможность записи собственных данных в самые защищенные сегменты оперативной памяти. На данный момент существует уже несколько примерных программ, демонстрирующих использование этой уязвимости.
Компания Microsoft пока не выпустила исправлений, направленных на устранение данной уязвимости. Пока лучшим способом обхода опасности является отключение подсистем MSDOS и WOWEXEC в скомпрометированных версиях Windows. В первую очередь, конечно, следует отключить сервис NTVDM, если в нем нет насущной необходимости. Чтобы обеспечить обход уязвимости стандартными средствами, нужно использовать шаблон политики «Windows Components\Application Compatibility\Prevent access to 16-bit applications» в редакторе групповых политик — это блокирует возможность запуска 16-битных приложений непривилегированными пользователями.
Орманди отмечает, что отправил Microsoft сообщение о найденной уязвимости еще в июне 2009 г., однако исправление так и не было выпущено. Сейчас компания Microsoft уже признала официально существование уязвимости, однако выход исправления до сих пор находится под вопросом. В то же время Microsoft сообщает, что пока неизвестно ни об одной реальной атаке с использованием описанной Орманди уязвимости.