Aby zrozumieć, jak trudno bronić komputery nawet przed średniozaawansowanymi hakerami, warto rozważyć przypadek luki w zabezpieczeniach znanej jako CVE-2017-0199. Zanim Microsoft dowiedział się o błędzie i wydał odpowiednią łatkę, minęło długie 9 miesięcy.
Microsoft nie komentuje, dlaczego załatanie dziury w Wordzie zajęło tyle czasu. Zwykle od dostrzeżenia błędu do rozwiązania problemu nie mija 90 dni. Tym razem hakerzy mieli znacznie większe pole manewru. Manipulowali oprogramowaniem, by szpiegować bliżej nieokreślonych rosyjskich przedstawicieli parlamentu, być może również tych z Ukrainy. Z kolei grupa złodziei wykorzystywała lukę, by kraść pieniądze z milionów kont online w Australii i innych krajach.
Historia zaczęła się w lipcu 2016 roku, gdy Ryan Hanson rozpoznał niedokładność, z jaką edytor tekstu Microsoft Word przetwarza dokumenty z jednego formatu na drugi. Można było w ten sposób przemycić link do złośliwego programu, który mógł przejąć kontrolę nad komputerem. Hanson spędził kilka miesięcy na znalezienie wszelkich powiązanych z tą luką niebezpieczeństw i w październiku zgłosił ją Microsoftowi. Firma mogłaby szybko rozwiązać ten problem, jednak wiązałoby się to z drastyczną zmiana w ustawieniach Worda i nieintencjonalnym powiadomieniem hakerów, w czym tkwił problem, oraz jak wykorzystać lukę.
Microsoft niesłusznie założył, że nikt inny nie wpadnie na tę samą lukę, i nie wykorzysta jej identycznie jak Hanson. No bo jakie były na to szanse? Okazało się jednak, że kiedy firma prowadziła dokładniejsze badania problemu i szukała najmniej inwazyjnego rozwiązania, ktoś znalazł opisywaną dziurę w Wordzie, i bez skrupułów zaczął z niej korzystać.
Nie jest jasne, jak hakerzy do tego doszli. Mogli nawet włamać się do Microsoftu i stamtąd pobrać informacje o luce w Wordzie. Jakkolwiek było, firma żyła sobie w błogiej nieświadomości, podczas gdy w styczniu podmiot o nazwie Gamma Group zaczął rozsyłać maile z załącznikiem w postaci dokumentu Word. Zawierał on rzekomo informacje na temat stanu wojska rosyjskiego oraz sytuacji na wschodzie Ukrainy. Maile były wysyłane do konkretnych osób – tych, które miały być podsłuchiwane przez oprogramowanie stworzone przez Gamma Group. Wśród nich znaleźli się żołnierze oraz politycy w Ukrainie i Rosji.
W marcu, analitycy z FireEye Inc. zauważyli, że popularny program hakerski, używany do operacji finansowych, Latenbot, jest rozpowszechniany przy pomocy tego samego błędu Microsoftu. Gigant z Redmond został ostrzeżony o niebezpieczeństwie.
Największy błąd popełniła firma McAfee, która nie czekając na wydanie odpowiedniej łatki, opisała ze szczegółami problem na swoim blogu. Było to 7 kwietnia. W ciągu następnych dwóch dni, program wykorzystujący dziurę w Wordzie został sprzedany na czarnym rynku hakerów kryminalnych. Wystarczyła niecała doba, by zaczęto z niego korzystać. W poniedziałek, 10 kwietnia, miliony komputerów w Australii zostało zainfekowanych oprogramowaniem Dridex, używanym do oszukiwania banków. We wtorek Microsoft, jakieś sześć miesięcy po otrzymaniu informacji od Hansona, wydał odpowiednią łatkę bezpieczeństwa.
Wydawanie zestawów naprawczych dla programów to proces złożony i długotrwały. Od znalezienia luki aż do jej załatania często mija miesiąc czy dwa. Wszystko musi być dopięte na ostatni guzik, żeby informacja o nieprawidłowości, którą można wykorzystać, nie wydostała się poza zamknięte grono osób bezpośrednio zaangażowanych w proces.
Wiele czynników nałożonych na siebie sprawiło, że wykorzystanie przez przestępców luki CVE-2017-0199, zanim została załatana, wyrządziło wiele szkód. Jak wiele? Tego na razie nie wiadomo. Nie jest jasne, ile ostatecznie komputerów zostało zarażonych złośliwym oprogramowaniem i ile pieniędzy zostało skradzionych.