Pagājušā gada nogalē IT pasauli satricināja WMF skandāls. Tagad ir noskaidrojušies daži apstākļi un ir veikti mēģinājumi rekonstruēt notikumu gaitu, kas noveda pie viena no lielākajiem Microsoft izgāšanās paraugiem.
Kā stāsta [i]Kaspersky lab[/i], tad eksploiti, kuri izmantoja WMF ievainojamību, hakeru melnajā tirgū tikuši tirgoti par 4000$, vēl pirms tam, kad par šādas kļūdas eksistenci kļuva publiski zināms.
Ievainojamības būtība ir apmēram šāda – pateicoties kļūdai wmf formāta attēla apstrādes algoritmos, jebkurš Windows dators, saskāries ar speciāli sagatavotu wmf attēlu, (Internetā vai kur citur) tā vietā lai zīmētu to uz ekrāna, izpildīs to kā programmu.
8. novembrī Microsoft paziņoja par atrastajām kļūdām wmf failu apstrādes procesā.
1. decembris. Kā uzskata Kaspersky lab drošības eksperts Aleksandrs Gostevs, WMF ievainojamību ap šo laiku ir izpētījis un pirmo eksploitu uzrakstījis kāds nezināms hakeris Krievijā.
Ap decembra vidu jau vairākas konkurējošas krievu hakeru grupas tirgoja gatavus eksploitus par 4000 dolāriem. Neviena Interneta drošības kompānija vēl par to neko nezināja.
Tirdzniecība noritēja pilnā sparā, kad kāds cilvēks, kuram pieder krimināls pagrīdes [i]adware[/i] un [i]spyware[/i] izplatīšanas saitu tīkls, iegādājās šo eksploitu. Noziedznieks saprata, ka tā ir zelta ādere un dažu dienu laikā viņš nopelnīs vairāk naudas, nekā dažs labs visas savas dzīves laikā. Tā eksploits nonāca rietumu Interneta pasaules publiskajā daļā.
26. decembrī uzreiz vairākas rietumu security kompānijas sāka saņemt dīvainus WMF failus, analīze liecināja, ka tie satur izpildāmu kodu un to atvēršana automātiski izsauc failu lejupielādi no saitiem, kuri nodarbojas ar [i]adware[/i] un [i]spyware[/i] izplatīšanu. Pagāja vismaz divas dienas, ekspertiem analizējot šos failus, un kad viņi beidzot saprata, kā eksploiti darbojas, tad ar šausmām konstatēja, ka to ir jau 50 modifikācijas, un tos izplata vairāki tūkstoši saitu. Situācija turpināja attīstīties lavīnveidīgi un tika konstatēta arī ļaundabīgo WMF failu masveida izsūtīšana pa e-pastu.
28. decembrī Microsoft brīdināja savus lietotājus par šādu ievainojamību, bet ar ielāpu izlaišanu nesteidzās, motivējot ar to, ka tradicionālā “ielāpu otrdiena” vēl nav pienākusi un vispār nekas bīstams tas nav.
3. janvārī viņi paziņoja, ka ielāps tiks izlaists otrdienā, 10. janvārī – līdz tam laikam viņi testēs dažādas lokalizētās Windows versijas. Microsoft apgalvoja, ka lai arī var piekrist tam, ka ievainojamība ir kritiska, taču… neviena nozīmīga vīrusu epidēmija pagaidām vēl neesot konstatēta.
“IT pasauli pārņēma šausmas. Šī bija otrā reize mēneša laikā, kad Microsoft ne tikai nespēja adekvāti reaģēt uz drošības draudiem, bet šķiet, ka pat nesaprata situācijas nopietnību. Smagi Windows kritizējošo rakstu skaits tuvojās ļaundabīgo WMF failu skaitam,” stāsta Aleksandrs Gostevs.
6. janvārī Microsoft beidzot padevās kritikai un izlaida ielāpu.
Avoti:
[url=http://www.viruslist.com/en/analysis?pubid=178619907#zero]viruslist.com[/url]
[url=http://www.vnunet.com/2149762]Hakeri raksta [i]zero day[/i] eksploitus pēc pasūtījuma[/url]
[url=http://www.techworld.com/security/news/index.cfm?NewsID=5302]Krievu hakeri pārdod Windows eksploitus[/url]
[url=http://arstechnica.com/journals/microsoft.ars/2006/2/4/2761]Dodiet man, lūdzu, trīs Windows eksploitus[/url]
[url=http://news.zdnet.co.uk/internet/security/0,39020375,39248387,00.htm]Hakeri uzbrūk parlamentam izmantojot WMF eksploitus[/url]