Сегодня, после того как Агентство национальной безопасности обнаружило и обнародовало серьезную уязвимость, Microsoft выпустила патч для Windows 10 и Server 2016. Этот редкий, но не беспрецедентный случай, подчеркивает серьезность изъяна и — кто знает?— может быть, раскрывает новые приоритеты АНБ.
Брешь обнаружилась в механизме Windows для подтверждения легитимности программного обеспечения и установления безопасных веб-соединений. Если доверия не заслуживает сама проверка, злоумышленники могут этим воспользоваться для удаленного распространения вредоносных программ или перехвата конфиденциальных данных.
«Мы рекомендуем владельцам сетей принять безотлагательные меры по установлению обновлений. Сами мы этим уже занимаемся», — сказала во вторник глава управления АНБ по кибербезопасности Энн Нойбергер (Anne Neuberger,). «Стоит нам выявить масштабную криптографическую уязвимость, подобную этой, как мы тут же обращаемся к компании-разработчнику — чтобы хоть как-то смягчить ущерб».
Изъян особенно касается интерфейса Microsoft CryptoAPI, который помогает разработчикам криптографически «подписывать» программное обеспечение и данные и генерирует цифровые сертификаты, используемые при аутентификации, — эти меры доказывают надежность и достоверность при проверках Windows на пользовательских устройствах. Злоумышленникам же брешь позволяет обойти важные средства защиты — и в конечном итоге заполучить контроль над устройствами.
«Представьте себе, что у вредоносного ПО будет сертификат доверия Microsoft и зашифрованный трафик будет перехватываться», — говорит Дэвид Кеннеди (David Kennedy), генеральный директор компании TrustedSec по оценке корпоративной безопасности, в прошлом сотрудник АНБ. «Это поможет обойти целый ряд заслонов».
Когда к уязвимости присмотрятся исследователи и киберпреступники и разработают соответствующие хакерские инструменты, масштаб проблемы для пользователей станет яснее. Но брешь в важнейшем криптографическом компоненте Windows — бесспорная проблема, ведь Windows 10 — популярнейшая операционная система в мире и установлена более чем на 900 миллионов персональных компьютеров.
«Это базовый низкоуровневый компонент операционной системы Windows, который устанавливает доверие между администраторами, обычными пользователями и другими компьютерами как в локальной сети, так и в интернете», — объясняет Кенн Уайт, руководитель отдела безопасности в компании MongoDB и директор проекта «Открытый криптоаудит». «Брешь в технологии, обеспечивающей доверие, может привести к катастрофическим последствиям. Какие именно для этого потребуются сценарии и предварительные условия — мы пока анализируем. Администраторам Windows по всему миру предстоит трудный день».
Решение АНБ обнародовать ошибку напоминает об EternalBlue — эта разработанная АНБ хакерская программа несколько лет эксплуатировала ошибку Windows, пока ее исправили в начале 2017 года. Баг этот присутствовал во всех тогдашних версиях Windows. В АНБ о нем знали — и пользовались для цифрового шпионажа в течение пяти лет. Кончилось тем, что программа из-под контроля АНБ вышла. Через несколько недель после того, как Microsoft выпустила исправление, программу выложила в сеть загадочная хакерская группа «Теневые брокеры» (Shadow Brokers). Пока по всему миру не установили нужные заплатки, преступники и хакеры на государственной службе развлекались как могли.
Быть может, сообщение об ошибке проверки в Windows 10 — это попытка АНБ избежать аналогичного провала. Нойбергер заверила, что в отличие от Eternal Blue, этой уязвимостью АНБ не воспользовалось.
Нойбергер назвала раскрытие ошибки проверки сотрудникам Microsoft и широкой общественности частью новой инициативы АНБ, в рамках которой агентство намерено делиться данными об изъянах безопасности чаще и оперативнее. Эти усилия заработают параллельно с существующим Процессом справедливого раскрытия уязвимостей — эту программу ведет Совет национальной безопасности, нащупывая баланс между государственной тайной в отношении хакерских программ и гласностью.
Вот почему АНБ не только раскрыло уязвимость, но и подчеркнуло свою роль. «Организациям трудно поверить, что мы действительно относимся к этому серьезно, — сказала Нойбергер, — и устранение уязвимостей — наш абсолютный приоритет».
Еще до фиаско с Eternal Blue АНБ широко критиковали за то, что организация собирает данные об уязвимостях ради собственной выгоды — а не рассказывает о них публично, чтобы исправить их как можно скорее.
В октябре Нойбергер возглавила недавно созданное Управление кибербезопасности АНБ, чтобы усилить внутреннюю безопасность ведомства и укрепить сотрудничество между департаментами. Агентство, организация молчаливая и скрытная, предприняло ряд других шагов по взаимодействию с исследовательским сообществом в области кибербезопасности — например, обнародовав в прошлом году исходный код аналитического инструмента Ghidra.
Раскрытие конкретной ошибки вовсе не означает, что АНБ откажется от своего арсенала хакерских утилит — ему и не надо. Но стремление к прозрачности — долгожданный шаг, особенно если он послужит реабилитации его имиджа.