Раскрылась уязвимость Windows 10, и хакер тут же воспользовался ею. Его жертвами стали GitHub и АНБ (да-да)

Валерий Горшков

Раскрылась уязвимость Windows 10, и хакер тут же воспользовался ею. Его жертвами стали GitHub и АНБ (да-да)

Компания Microsoft раскрыла слабое место Windows 10, но не прошли и сутки, как хакер устроил демонстрацию его использования. Он не просто показал уязвимость операционки в действии, а представил её опасность на примере сайтов GitHub и Агентства национальной безопасности США. Но за такую атаку ему ничего не будет, ведь в качестве жертвы он выбрал самого себя.

О новой уязвимости операционной системы Windows 10 сообщила сама компания Microsoft 14 января, представив на своём официальном сайте обновление. Слабое место назвали CVE-2020-0601.

Уязвимость заключается в том, что Windows CryptoAPI (Crypt32.dll) проверяет сертификаты криптографии эллиптической кривой (ECC). Злоумышленник может воспользоваться этой уязвимостью, используя поддельный сертификат для подписи кода, чтобы подписать им исполняемый файл. Для системы создаётся впечатление, что файл был получен из надёжного источника. А пользователь не сможет узнать, что он был вредоносным, потому что цифровая подпись для операционной системы выглядит достоверной. Успешная эксплуатация может также позволить злоумышленнику проводить атаки посредника и расшифровывать конфиденциальную информацию о пользовательских подключениях к уязвимому программному обеспечению.

Простыми словами, новое слабое место Windows 10 позволяет хакерам без труда обойти систему защиты операционной системы и антивирусные программы, а затем успешно установить на компьютер жертвы вирусное ПО и получать закодированную информацию, в том числе и пароли, а также влиять на работу других программ, включая контроль над соединением с Сетью.

Раскрылась уязвимость Windows 10, и хакер тут же воспользовался ею. Его жертвами стали GitHub и АНБ (да-да)

По информации издания ARSTechnica, уязвимости подвержены не все версии Windows — лишь Windows 10, включая её серверные версии — Windows Server 2016 и Windows Server 2019. Ранние операционки от Microsoft используют другие, более надёжные методы шифрования.

Однако уже через сутки после публикации обновлений для Windows 10 специалист по безопасности операционных систем — Салем Рашид — продемонстрировал, как можно использовать CVE-2020-0601 для криптографического подражания любому сайту в интернете. В качестве своих жертв парень выбрал порталы крупнейшего веб-сервиса для хостинга IT-проектов GitHub и Агентства национальной безопасности США.

Снимки экрана с результатами атаки он опубликовал в своём твиттер-аккаунте.

Сначала Салем проверил уязвимость на сайте GitHub, составив исполняемый файл с вредоносным кодом из 100 строк (при этом Рашид говорит, что его можно без труда сжать до десяти). Windows восприняла файл как достоверный и запустила его. В результате при попытке зайти на портал открывалось видео «Рикроллинг» — популярная интернет-шутка, когда человеку под видом полезной гиперссылки отправляют музыкальный клип Рика Эстли на песню Never Gonna Give You Up.

Аналогичный трюк Салем проделал и с порталом АНБ: при попытке зайти на него через браузеры Edge, Internet Explorer и Chrome снова выскакивал Рик Эстли и демонстрировал свой зажигательный танец.

Раскрылась уязвимость Windows 10, и хакер тут же воспользовался ею. Его жертвами стали GitHub и АНБ (да-да)

Однако браузер Firefox отказался принимать написанный хакером сертификат и запускать сайт.

Портал Агентства национальной безопасности Рашид выбрал неслучайно — именно его сотрудники первыми сообщили о патче, который выпустили в Microsoft, пытаясь защитить пользователей от уязвимости.

И пользователи Сети сразу же начали шутить над этим.

Некоторые пользователи последовали совету АНБ и Microsoft, но после публикации Салемом его эксперимента начали сомневаться в безопасности своих компьютеров.

Однако большинство пользователей просто делились новостью об уязвимости и обновлении, которое, вроде как, может спасти от неё. Публикаций об этом набралось так много, что в твиттере начали от них уставать.

Хакеры очень любят шутить, но иногда их шутки заходят слишком далеко. Маленькая девочка начала слышать в своей комнате странный голос, но он принадлежал вовсе не призракам, а парню, который решил повеселиться за счёт своих познаний в программировании, правда, малышке было совсем не смешно.

Но профессиональные взломщики не станут тратить время на подобные игры, ведь они прокачивают свои навыки в корыстных целях, а их жертвой может стать кто угодно — не только банки и госкорпорации. Неплохо зарабатывают хакеры и на обычных людях — и очень любят атаковать девушек плюс-сайз.

Пенсионерке 70 лет, но она крушит стереотипы о старости. Ещё бы — её фигура доводит до зелёной зависти молодых Пенсионерке 70 лет, но она крушит стереотипы о старости. Ещё бы — её фигура доводит до зелёной зависти молодых Космический разгон, но играть можно на диване. 10 признаков хорошего ноутбука для гейминга Космический разгон, но играть можно на диване. 10 признаков хорошего ноутбука для гейминга Племянница нашла старый альбом тёти и узнала её тайну. У родственницы в молодости не было отбоя от киноактёров Племянница нашла старый альбом тёти и узнала её тайну. У родственницы в молодости не было отбоя от киноактёров Коллеги в шутку прошли ДНК-тест и лишились покоя. Оказалось, их связывает не только работа, но и общее прошлое Коллеги в шутку прошли ДНК-тест и лишились покоя. Оказалось, их связывает не только работа, но и общее прошлое Как получить права в Москве. Учимся онлайн, сдаем с первого раза (но это не точно) Спортсмен повторил диету сверхмарафонца Дэвида Гоггинса и чуть не сломался. Качок уверен: атлет — сверхчеловек Спортсмен повторил диету сверхмарафонца Дэвида Гоггинса и чуть не сломался. Качок уверен: атлет — сверхчеловек Не носки и не кастрюли. Гид по подаркам к гендерным праздникам Не носки и не кастрюли. Гид по подаркам к гендерным праздникам Если у Слендермена есть сестра, то с лишними суставами на пальцах. Как у реддиторши, показавшей такие на видео Если у Слендермена есть сестра, то с лишними суставами на пальцах. Как у реддиторши, показавшей такие на видео Спасатели нашли оленя, но его глаза — сюжет для хоррора. Из них растут волосы, и развидеть это не получится Студент бросил университет, но родители быстро забыли о переживаниях. Ведь теперь их сыну завидуют все женщины Полиция семь часов осаждала дом, уговаривая хозяина сдаться. Всё это время они болтали со стеной — буквально Полиция семь часов осаждала дом, уговаривая хозяина сдаться. Всё это время они болтали со стеной — буквально Полицейский ходит на работу и ловит преступников, но прославился не этим. Вы удивитесь, узнав, сколько ему лет Полицейский ходит на работу и ловит преступников, но прославился не этим. Вы удивитесь, узнав, сколько ему лет Деревья двигаются не только во «Властелине колец». Оператор сняла оживший сад, и он находится не в Средиземье Деревья двигаются не только во «Властелине колец». Оператор сняла оживший сад, и он находится не в Средиземье Артемий Лебедев нашёл фото немецкого гражданства Юлии Навальной. Потом сказал, что это фейк, но люди не поняли Артемий Лебедев нашёл фото немецкого гражданства Юлии Навальной. Потом сказал, что это фейк, но люди не поняли Водитель думал, что увидел торнадо, пока не подъехал ближе. Из столпа смерча на него посмотрели миллионы глаз Водитель думал, что увидел торнадо, пока не подъехал ближе. Из столпа смерча на него посмотрели миллионы глаз Хозяин квартиры увидел в окне соседки напротив странные знаки. Расшифровав их, он оказался на пороге отношений Хозяин квартиры увидел в окне соседки напротив странные знаки. Расшифровав их, он оказался на пороге отношений Журналист подписал имейлы нелепыми фразами и удивился результату. Он начал получать ответы, которых не ждал Журналист подписал имейлы нелепыми фразами и удивился результату. Он начал получать ответы, которых не ждал Блогерша изобразила на лице злость, и люди влюбились. Ещё бы: она микс из Анджелины Джоли и Кристен Стюарт Мама нашла в детском домике сотни чёрных бусин и может с ним прощаться. В шариках росли её новые соседи Мама нашла в детском домике сотни чёрных бусин и может с ним прощаться. В шариках росли её новые соседи Блогерша общалась с мэтчем, и зря он соврал, что одинок. Разоблачение было в духе ФБР, а наказание — ещё хуже Блогерша общалась с мэтчем, и зря он соврал, что одинок. Разоблачение было в духе ФБР, а наказание — ещё хуже Школьницу выгнали с уроков из-за смелого платья. Всё бы ничего, но её папа выбрал самое строгое из возможных Школьницу выгнали с уроков из-за смелого платья. Всё бы ничего, но её папа выбрал самое строгое из возможных Школьник стыдился причёски и не хотел снимать шапку. Так он попал в кабинет директора, а вышел оттуда стилягой Школьник стыдился причёски и не хотел снимать шапку. Так он попал в кабинет директора, а вышел оттуда стилягой Мужчина оскорбил свою бывшую девушку, и ФБР уже тут. Ведь причина из ссоры — дело государственной важности Смельчак построил антигравитационный дом, и он великолепен. Был, пока гравитация не победила и не сломала его Смельчак построил антигравитационный дом, и он великолепен. Был, пока гравитация не победила и не сломала его Математики вычислили самую красивую породу собак с помощью золотого сечения. Похоже, Круэлла знала, что делала Математики вычислили самую красивую породу собак с помощью золотого сечения. Похоже, Круэлла знала, что делала Родители спрятали печенье, а дочь переиграла их в духе Человека-паука. Но её скиллы скалолаза беспокоят людей Родители спрятали печенье, а дочь переиграла их в духе Человека-паука. Но её скиллы скалолаза беспокоят людей Блогеру не хватало реализма в играх, и он усилил виброотдачу. Теперь геймер может устроить дома землетрясение Спасатели разлучили лебедей и были готовы к их тоске. Но не к тому, что произошло, когда пара воссоединилась Блогер вчитался в текст песни Леди Гаги «Poker Face» и удивил фанатов. Весь мир годами слушал запретные слова Блогер вчитался в текст песни Леди Гаги «Poker Face» и удивил фанатов. Весь мир годами слушал запретные слова Змееловы показали фото травы и озадачили людей. На снимке есть питон, но вы сначала попробуйте его найти Змееловы показали фото травы и озадачили людей. На снимке есть питон, но вы сначала попробуйте его найти Фотограф заснял цветущую сакуру, и у него вышел кадр из аниме. Но главным героем оказалась совсем не вишня Фотограф заснял цветущую сакуру, и у него вышел кадр из аниме. Но главным героем оказалась совсем не вишня Повара удивил хак с мясом из Сети. Но вместо режима Гордона Рамзи он включил тостер и сделал стейк medium rare Повара удивил хак с мясом из Сети. Но вместо режима Гордона Рамзи он включил тостер и сделал стейк medium rare Пластический хирург нашёл способ избежать штрафа за нарушение ПДД. Он просто сделал свою работу и пришёл в суд Пластический хирург нашёл способ избежать штрафа за нарушение ПДД. Он просто сделал свою работу и пришёл в суд Блогер взялся за молоток, и к нему пришла слава. То, что он делает инструментом, достойно серии «Рика и Морти» Блогер взялся за молоток, и к нему пришла слава. То, что он делает инструментом, достойно серии «Рика и Морти» Блогер нашёл способ посмотреть сны грибов со звуком. Это натуральный рейв, но танцевать под такое не захочется Блогер нашёл способ посмотреть сны грибов со звуком. Это натуральный рейв, но танцевать под такое не захочется Старушка зашла на фейсбук и едва увернулась от вечного бана. Она просто попыталась продать вязаного поросёнка