Ошибки в процессах SVCHOST и LSASSСистемные процессы «SVCHOST» и «LSASS» играют важную роль в Windows NT — они содержат большое количество служебных потоков, необходимых для работы операционной системы. Ранее, в разделе, посвященном маскировке Windows-вирусов, приводились примеры некоторых таких потоков. К сожалению, именно в них были обнаружены уязвимости, позволявшие вредоносному коду проникать в систему извне, по сети.

Один из потоков процесса «SVCHOST» отвечает за службу DCOM RPC — подсистему, которая обеспечивает информационное взаимодействие друг с другом прикладных и системных программных компонентов, расположенных как на одной, так и на разных машинах сети. К сервисам подсистемы возможен как локальный доступ, так и обращение по сети через порт 135 при помощи протоколов семейств TCP/IP, NetBIOS и IPX/SPX. В июле 2003 г. группа «серых шляп», именующих себя LSD — Last Stage of Delerium, обнаружила в сервисной функции «CoGetInstanceFromFile» библиотеки «OLE32.DLL» критическую уязвимость — под содержимое одного из строковых параметров был зарезервирован массив постоянной длины 544 байта: Библиотека загружалась в адресное пространство процесса «SVCHOST», а функция активно использовалась службой RPC DCOM. Это означало возможность атаки на RPC DCOM по сети в соответствии с рассмотренной выше схемой «переполнения буфера». Ошибка присутствовала практически во всех распространенных в то время операционных системах ветви NT: Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 Server и модификациях, выполненных сторонними фирмами. Очень быстро, буквально через две недели китайская команда «серых шляп» Xfocus сумела использовать эту уязвимость, разработав и опубликовав соответствующий эксплойт. Программисты из Microsoft оперативно выпустили бюллетень безопасности MS03-026 и «заплатку» против уязвимости. Однако «заплаткой» воспользовались только наиболее бдительные и ответственные сетевые администраторы, а десятки миллионов рядовых пользователей тревожную информацию просто проигнорировали. Ну в самом деле, не бежим же мы сломя голову в ближайшую аптеку, услышав по радио о появлении в Китае или Мексике какой — нибудь новой разновидности «птичьего» или «свиного» гриппа!

Еще интересные статьи :