Microsoft WinDbg – один из самых популярных инструментов отладки приложений, работающих на базе операционной системы Windows. Он позволяет разработчикам собирать и анализировать отчеты с информацией о некорректной работе приложения у пользователей. Вендоры используют эту информацию для выявления и устранения недостатков исходного кода, остававшихся неизвестными ранее. Уязвимость, обнаруженная экспертом МТС RED ART, состояла в том, что в отчет о неполадках, автоматически отправляемый разработчикам, можно было встроить вредоносный код или ссылку, поскольку отладчик не проверял безопасность содержимого таких файлов.
«Опасность атаки непосредственно на разработчиков состоит в том, что они, как правило, имеют права локального администратора на рабочей машине и доступ к исходному коду продуктов. Результатом такой атаки может стать утечка конфиденциальной информации и даже встраивание закладок в программные решения компании, чтобы получить доступ в инфраструктуру ее заказчиков», – рассказал Александр Калинин, ведущий системный архитектор центра безопасности сред исполнения, эксперт группы МТС RED ART компании МТС RED.
Уязвимость позволяет атакующему удаленно запускать произвольный вредоносный код на рабочей станции с установленным Microsoft WinDbg и доступом по SMB-протоколу к серверу атакующего. Вследствие небезопасности процесса обработки dmp-отчетов о неполадках, злоумышленник может запускать исполнение произвольного кода на уязвимом хосте и реализовать атаку с подменой библиотек, тем самым внедрив вредоносные возможности в легитимное ПО.
Для защиты от данных рисков эксперты МТС RED ART рекомендуют разработчикам использовать исключительно версии Microsoft WinDbg в составе Windows SDK 11 и выше, в которых данная уязвимость устранена вендором.
МТС RED ART – команда перспективных исследований, входящая в состав компании МТС RED, российского разработчика продуктов и сервисов для защиты от кибератак. МТС RED ART занимается поиском и анализом угроз, а также разработкой перспективных технологических решений, которые интегрируются в продукты компании.