Windows | Bezpečnost | Malware

Zatímco se svět děsil WannaCry, Microsoft v tichosti opravil „největší chybu historie“

  • Expert z Googlu v květnu objevil kritickou chybu ve Windows
  • Prý byla největší za poslední roky a „crazy bad“
  • V květnu jich ale byla ve Windows celá hromada

Ačkoliv slovíčko WannaCry patřilo k nejcitovanějším počítačovým termínům května a leckdo by si pomyslel, že to byl právě uplakaný ransomware, který zasáhl svět zdaleka nejvíce, Microsoft se možná mnohem více zapotil z úplně jiné chyby v jeho systému, o které expert na zranitelnosti z Googlu Tavis Ormandy prohlásil, že je „crazy bad“ a „worst Windows remote code exec in recent memory.“

Nebezpečný crazy bad

Dvousloví crazy bad se poté vžilo i pro označení samotné zranitelnosti, která byla natolik kritická, že jste o ní paradoxně možná vůbec neslyšeli. Jak je to možné? Microsoft vydal záplatu pouhé tři dny poté, co ji Ormandy jen letmo zmínil na svém Twitteru.

Květen však byl v tomto ohledu pro Microsoft opravdu nepříjemný měsíc, jen co se totiž vyřešil jeden problém, Ormandy objevil další díru, přičemž tentokrát raději rovnou kontaktoval Microsoft. I tu firma bryskně opravila.

Když je děravý samotný antivirus

V obou případech se jednalo o zranitelnost, která mohla mít dalekosáhlé následky – mnohem rozsáhlejší než WannaCry. Ostatně tvůrci ransomwaru WannaCry přes velký humbuk v médiích vydělali jen relativně nízký obnos, díky monitoringu bitcoinových transakcí se totiž přišlo na to, že výkupné zaplatil jen zlomek obětí. A to je dobrá zpráva, která by mohla demotivovat riskantní tvorbu podobných rozsáhlých kampaní.

Ale zpět k oné bláznivě špatné zranitelnosti. V čem byla tak nebezpečná? Společně s tou následující to byla kritická chyba ve vestavěné antivirové ochraně Windows MsMpEng (Malware protection Engine).

Tento systém obsahuje speciální x86 emulátor, ve kterém se spouští všemožné nedůvěryhodné soubory. Problém spočívá v tom, že emulátor nebyl dostatečně sandboxovaný – oddělený od zbytku systému, takže mohlo dojít k paradoxní situaci, že by jej vir, kterého má kontrolovat a bránit před ním uživatele, napadl a využil k otevření vrátek do systému.

Virus by prostě zneužil díru samotné antivirové ochrany, a jakmile by byl spuštěn, pronikl by do nitra počítače, protože antivirový proces Microsoftu má systémová práva. Virus by získal stejná a mohl by si dělat, co by se mu zlíbilo.

C:\$MFT\123456789

Ovšem ani tyto dvě vskutku kritické chyby (nicméně nikoliv první svého druhu – i autoři ostatních komerčních antivirů občas udělají botu, protože antivir je prostě program jako každý jiný a jeho tvůrci také chybují) nebyly jediné, které potrápily redmondské vedení.

Před pár dny prolétla médii zpráva o další bizarní chybě. Ta se tentokrát týká souborového systému NTFS a starších verzí Windows 7 a 8. Majitelé Desítek mohou být klidní. Chyba sice nedostane do systému virus, dokáže ale docílit toho, aby Windows zkolabovaly a museli jste je restartovat.

Stačí k tomu jediné, pokud se otevřít libovolný soubor na cestě $MFT, třeba C:\$MFT\123456789. Soubor přitom vůbec nemusí existovat, nejde totiž o něj, ale o ono $MFT, což jsou speciální metadata systému NTFS. Tento systémový soubor není dostupný a nedokážete jej otevřít, pokud však systém ošálíte způsobem, že k němu budete jako v našem příkladu přistupovat, jako by se jednalo o adresář, způsobíte zablokování celého souborového systému, který se zamkne přede všemi ostatními přístupy.

No a to už docela přirozeně povede k totálnímu zamrznutí Windows. Chybu lze přitom docela snadno vyzkoušet, stačí totiž pouhý odkaz na tuto cestu třeba v prohlížeči.

Objevení chyby není ostuda

Jakkoliv to však vypadá, že jsou Windows opět jako za starých časů plné děsivých chyb, můžeme být klidní, relativně klidní, Microsoft totiž v tomto případě nikterak nevybočuje z řady.

Stačí se ostatně podívat do statistiky zranitelností CVE Details, kde při pohledu na nejděravější výrobce letošního roku zjistíte, že je celý Microsoft až na 6. místě. První tři příčky náleží postupně Oraclu, Googlu, a Linuxu. Před Microsoftem je pak ještě IBM a Apple.

Nejděravější tvůrci roku 2017 podle CVE Details

  1. Oracle (431)
  2. Google (336)
  3. Linux (326)
  4. IBM (296)
  5. Apple (294)
  6. Microsoft (244)
  7. Imagemagick (173)
  8. Adobe (149)
  9. Cisco (143)
  10. Opensuse Project (70)
  11. GNU (68)
  12. Huawei (68)
  13. Debian (67)
  14. Autotrace Project (51)
  15. Novell (47)
  16. Fedoraproject (46)
  17. Mcafee (45)
  18. Canonical (44)
  19. Libtiff (44)
  20. Apache (42)

Objevení podobné chyby je vlastně dobrá zpráva, výrobce ji totiž může (pokud možno) urychleně objevit. Skutečnou hrozbou jsou naopak chyby, o kterých ví jen útočník, případně chyby, které o kterých již odborná komunita ví celé měsíce, ale výrobce se nemá k opravě. To se naštěstí v tomto případě nestalo a útočníci nedostali šanci.

Diskuze (52) Další článek: Na Apple se sypou další žaloby. Týkají se AirPlay, automatického vytáčení či baterie

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,