Пресс-релизы

5 апреля 2012 г

Microsoft: Как Internet Explorer защищает от атак

Для защиты от действий злоумышленников последняя версия браузера от Microsoft получила усовершенствованные инструменты защиты памяти. Они усложняют и увеличивают стоимость разработки вредоносного ПО, а также делают работу злоумышленников сложнее.

Для защиты от действий злоумышленников последняя версия браузера от Microsoft получила усовершенствованные инструменты защиты памяти. Они значительно усложняют и увеличивают стоимость разработки вредоносного ПО, а также делают работу злоумышленников сложнее.

Поскольку в последнее время в браузерах становится меньше общих уязвимостей, для доступа к компьютеру жертвы преступники чаще всего используют программы с использованием социотехник. Но поскольку все больше людей выбирают Internet Explorer 9 с его фильтром SmartScreen , мошенники чаще пытаются атаковать этот популярный браузер напрямую. В этом материале мы расскажем об основных угрозах для браузеров, о компонентах защиты Internet Explorer 9 и объясним, как защита памяти Internet Explorer 10 обеспечивает еще большую безопасность.

Как проводятся атаки на веб-браузеры

Чтобы атаковать браузер, злоумышленники используют уязвимости, связанные с памятью. Тем самым они пытаются вызвать в программе сбой и запустить выполнение собственного кода. Однако для этого нужно предварительно поместить нужный код на компьютер жертвы.

Для атаки злоумышленникам также нужно использовать уязвимость браузера, которая позволяет изменять потоки выполнения кода, например, переполнение буфера. Благодаря этому мошенники могут заставить программу запустить нужный им код. При такой типовой атаке они размещают специальный набор данных в стек потока, переполняя буфер и перезаписывая новые структуры данных. Злоумышленники пытаются устроить так, чтобы записи обработчика исключений или обратный адрес функции были перезаписаны. Это позволит изменить поток и направить его на выбранное место в памяти.

Другие атаки применяют уязвимости, связанные с обращением к свободным областям памяти, - так называемые use-after-free. С их помощью можно заставить приложение обратиться к свободному объекту, память которого уже была повторно использована для других целей.

Защита браузера

Технологии защиты памяти делают использование уязвимостей сложным, менее надежным, а в некоторых случаях даже невозможным средством атаки. Такие средства обеспечивают безопасное завершение процессов браузера до того момента, как уязвимость будет использована для запуска кода злоумышленников. Новые технологии защиты позволяют разработчикам выиграть время на создание и распространение исправлений еще до использования уязвимости для причинения вреда.

Технологии, которые применялись в Internet Explorer, регулярно менялись с течением времени, чтобы постоянно обеспечивать защиту от новых методов атак. Некоторые методы защиты, например, флаг компилятора / GS, использовались и в предыдущих версиях браузера – со временем такие технологии обновляются и совершенствуются. Другие средства защиты, например, ForceASLR, впервые применяются уже в Explorer 10 и используют новые компоненты операционной системы.

Средства защиты от воздействия во время компиляции

Авторы ПО при разработке могут воспользоваться средствами предотвращения влияния на компилятор. Такие возможности используются в Internet Explorer при разработке как обязательный этап жизненного цикла разработки программного обеспечения. Microsoft рекомендует авторам ПО разрабатывать собственный процесс SDL, который бы содержал средства уменьшения влияния на время компиляции.

Технология компилятора, которая дает возможность выявить переполнение буфера стека приложения, называется флаг /GS и впервые была использована в Visual Studio. NET 2002. С тех пор она применяется во всех версиях Internet Explorer, которые сейчас поддерживаются. Флаг /GS размещает данные безопасности, названные «канарейками», в пределах стека приложения. Например, одна такая «канарейка», которая находится между буфером стека и обратным адресом, при атаке на переполнение буфера стека будет перезаписана. Именно таким образом процесс обнаружит, что произошло переполнение буфера. В таком случае идентифицируется исключение, и процесс можно безопасно остановить до того момента, когда будет запущен код злоумышленников.

Эта концепция защиты улучшается с каждой новой версией Visual Studio. Internet Explorer 9 + использует последнюю версию – Enhanced /GS, которая защищает много функций, в том числе – массивы без указателя и чистые структуры данных. Кроме того, последняя оптимизированная версия позволила сократить количество проверок и таким образом уменьшить влияние средств защиты на производительность ПО.

Флаг /SAFESEH – это механизм, который хранит зарегистрированные обработчики исключений приложений таблицы подстановки, размещенной на безопасном участке памяти. Если происходит исключение, он проверяет адреса обработчиков исключений в стеке приложения по таблице подстановки, и если эти значения не совпадают, процесс прекращается.

Чтобы такой метод надежно защищал процессы, нужна поддержка модулей DLL всеми средствами защиты. Если какой-то из модулей их не поддерживает, то и защита будет менее эффективной. SDL требует, чтобы весь код Microsoft компилировался с SAFESEH, в то время как дополнительные компоненты сторонних разработчиков могут компилироваться и без этого флага.

Флаг /DYNAMICBASE – параметр компоновщика, который позволяет использовать Address Space Layout Randomization (ASLR). Это технология, предотвращающая влияния на операционную систему. Проблемы флагов /SAFESEH и /DYNAMICBASE сходны: любой модуль DLL, который не поддерживает эту технологию защиты, снижает эффективность ASLR. Злоумышленник может атаковать модуль в предсказуемом местоположении, и для того, чтобы уязвимость можно было применить, достаточно одного такого модуля. Некоторые из последних средств эксплуатации уязвимости направлены именно на компоненты браузеров, которые не используют защиту ASLR. Например, в прошлом году средства эксплуатации уязвимости Adobe Reader и Acrobat 0-day http://www.adobe.com/support/security/advisories/apsa10-02.html базировались на предсказуемом местоположении функций в модуле icucnv36.dll, который не поддерживал ASLR.

Средства предотвращения воздействия на среду выполнения

Такие средства позволяют операционной системе обеспечивать безопасность процессов. Например, DEP /NX предотвращает влияние на операционную систему, которое опирается на ключевые компоненты безопасности (No eXecute) современных центральных процессоров. Это средство отмечает страницы как не содержащие выполняемых данных. Когда злоумышленник будет пытаться выполнить собственный код, записанный на определенную страницу данных в памяти, эта технология будет предотвращать запуск кода на отмеченной DEP /NX странице памяти. В случаях атаки и при попытке выполнения невыполняемых данных процесс безопасно останавливается. Впервые такая технология была применена в Internet Explorer 8 и используется в дальнейшем, в том числе – в Internet Explorer 10.

SEHOP обеспечивает защиту от вмешательства в работу обработчиков исключений и во многом напоминает работу компилятора /SAFESEH. Это средство вставляет символьную запись исключения в качестве последней записи в списке обработчиков исключений потока. Если возникает исключение, список обработчиков исключений проверяется на наличие этой записи.

Если же она недоступна, становится понятно, что цепь обработчиков исключений повреждена, и процесс безопасно останавливается. Однако, в отличие от SAFESEH, SEHOP не требует применения в каждом модуле. Поэтому защита действует даже в случаях, когда компоненты были скомпилированы без использования флагов безопасности. Впервые SEHOP стал применяться в Internet Explorer 9, и он до сих пор активен в Internet Explorer 10.

Технология Address Space Layout Randomization (ASLR), упомянутая выше, выделяет случайный базовый адрес памяти приложениям при первой загрузке. Другие структуры памяти, например, PEB (Process Environment Blocks), TEB (Thread Environment Blocks) и стеки, также получают свое случайное место в памяти. Это случайное размещение мешает злоумышленникам определять в памяти определенные компоненты, таким образом предотвращая использование технологии «возвратно-ориентированного программирования». Эта технология очень напоминает использование замка с шифром. Если злоумышленники не знают шифра, у них есть только одна попытка угадать его. Если эта попытка оказывается провальной, атака не происходит, а процесс безопасно останавливается.

Впервые технология Address Space Layout Randomization появилась в Windows Vista. С тех пор она была несколько раз улучшена, и в Windows 8 в Internet Explorer 10 используются последние версии ASLR. Например, все отделы памяти сверху вниз и снизу вверх теперь выполняются в случайном порядке с использованием 8 бит энтропии. Таким образом уменьшается количество предполагаемых зон памяти, в том числе – функции VirtualAlloc и MapViewOfFile.

Технология High Entropy Address Space Layout Randomization (HEASLR) использует возможности 64-разрядного пространства адресов и назначает больше битов энтропии, а это, в свою очередь, увеличивает количество потенциальных адресов для 64-разрядного процесса. Все 64-разрядные процессы могут поддерживать такую, увеличенную благодаря HEASLR, энтропию. Процессы могут использовать это средство защиты или при компоновке (/HIGHENTROPYVA) или при загрузке через новый параметр Image File Execution Option.

По умолчанию браузер в стиле Metro работает в 64-разрядном режиме на 64-разрядных компьютерах. Такая автоматическая настройка обеспечивает значительное увеличение вариантов случайного распределения памяти.

ForceASLR, наверное, одно из важнейших изменений ASLR в Windows 8. Это – новый параметр загрузчика, который Internet Explorer 10 использует, чтобы операционная система в случайном порядке размещала загруженные браузером модули. Это работает даже с модулями, которые не компоновались с флагом /DYNAMICBASE. Технология защиты ForceASLR добавлена в ядра Windows 8 и доступна в качестве обновления для Windows 7 при установке Internet Explorer 10.

Если вы – разработчик модулей и хотите использовать этот компонент защиты старых версий Internet Explorer, которые не поддерживают ForceASLR, попробуйте использовать флаг /DYNAMICBASE.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

17 октября 2013 г

 • В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
 • Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays

16 октября 2013 г

 • Украинские предприниматели выходят на международный рынок с помощью Windows Azure
 • Бионические разработки Festo – инвестиции в будущее

15 октября 2013 г

 • Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры

11 октября 2013 г

 • Відбувся 4-й Український форум з управління Інтернетом IGF-UA
 • В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
 • Графические процессоры ускоряют пошив плаща-невидимки
 • Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
 • Количество Android-смартфонов в сети «Киевстар» превысило 2 млн