Informacje o podatnościach dnia zerowego zawsze są w cenie, a luka w najnowszym systemie Microsoftu zaledwie kilka dni po jego premierze na pewno nie będzie tania. Do czasu wydania aktualizacji – mam nadzieję, że Microsoft wyda ją poza oficjalnym cyklem, tak szybko, jak to tylko możliwe. Trzymam kciuki za ekipę Microsoftu, bo dziura to nic strasznego, brak łaty – to jest problem.

Handlowaniem informacjami o podatnościach w powszechnie używanym programowaniu takich firm jak Microsoft, Adobe, Apple i Oracle zajmuje się francuska firma Vupen.

Informuje ona w środowym wpisie w serwisie społecznościowym Twitter, że sprzedaje swoją pierwszą podatność dnia zerowego dla Windows 8 + Internet Explorer 10, przy czym eksploit omija między innymi randomizację przestrzeni adresowej (HiASLR), ROP, oraz ochronę przed wykonaniem kodu (DEP), przy czym nie potrzebuje do tego celu wtyczki Adobe Flash.

Specjaliści z firmy Vupen już wcześniej obiecywali rozpoczęcie sprzedaży informacji o lukach Windows 8 razem z premierą tego systemu.

Na czym może polegać podatność?
Podczas jednej z najciekawszych sesji konferencji MTS, pentesterka Paula Januszkiewicz pokazała przykład wstrzyknięcia kodu do procesu powłoki systemu Windows 8, omijając typowe zabezpieczenia i wykorzystując typowe ludzkie błędy. Prawdopodobnie to samo da się wykonać także z Internet Explorerem 10 jeśli luka w przeglądarce będzie wystarczająco poważna. Na razie szczegóły podatności jeszcze nie są znane.

Działania zaczepne czy obronne?

Vupen okupuje szarą strefę badaczy bezpieczeństwa systemów i aplikacji, sprzedając informacje o podatnościach bogatym podmiotom rządowym lub komercyjnym, ale nie informuje przy tym producenta podatnego oprogramowania. Sprzedawane w ten sposób informacje o lukach mogą posłużyć do obrony przed atakami hackerskimi, ale powszechnie wiadomo, że służą także do działań zaczepnych.

Sprzedawana dziura jest jednym z pierwszych problemów z Windows 8 oraz Internet Explorerem 10, ale nie oznacza, że jest to pierwsza podatność w komputerze z systemem Windows 8. Problem polega na tym, że na platformie Windows 8 pracują popularne programy firm trzecich, o których już teraz wiadomo, że zawierają niezałatane podatności.

Jeśli była luka, to będzie łata
Należy pamiętać, że luka w świeżo wydanym programie nie jest niczym nadzwyczajnym. Przykładem może być przeglądarka Mozilla Firefox 16.0, niesłychanie szybko od zgłoszenia podatności (poniżej 48h) zaktualizowana do wersji 16.0.1. To samo dotyczy produktów Oracle (luka za luką w Javie, szybkie aktualizacje, które usunęły problem) czy Adobe (czarna seria dziurawych wtyczek Flash). Microsoft również miał taką serię szybkich aktualizacji – luki są i będą się pojawiać, gdyż dzisiejsze oprogramowanie jest bardzo skomplikowane.
Jestem przekonany, że możemy się spodziewać szybkiego wydania łaty do Windows 8 poza zwykłym cyklem poprawek. Takie rzeczy również się zdarzały.

Ile może kosztować taka dziura?
Nie wiadomo, ale informacje dostarczane przez firmę Vupen nigdy nie były tanie. Pentesterzy, z którymi rozmawiałem, mówią o dziesiątkach tysięcy USD, cena wzrośnie, gdy informacja zostanie potwierdzona przez stronę trzecią lub Microsoft. Czy może być wartościowa dla przestępców? Na pewno tak.

Skoro IE jest dziurawy, użyj Firefoksa
Na pewno skuteczność działania eksploitów atakujących Internet Explorera można zmniejszyć korzystając z innej przeglądarki. Moim zdaniem najlepszym wyborem obecnie jest Firefox z dodatkami AdBlock, Ghostery oraz umiejętnie używanym NoScriptem – dzięki blokowaniu nieznanej zawartości i selektywnemu odblokowywaniu treści można minimalizować ryzyko.