2. Hírek
  3. Biztonság

Egy tesztelésre készült kóddal támadhatóak a Windowsok

A Microsoft pénteken kiadott közleményében megerősítette, hogy a Windowsok nagy részében (XP SP3-tól, illetve Windows Server 2003 SP2-től felfelé) megtalálható súlyos sebezhetőségre írott támadó kód feltehetően egy partnertől, valószínűleg egy vírusvédelmi megoldásokkal foglalkozó vállalkozástól került illetéktelen kezekbe.

ms12-020

A sebezhetőségről szóló, a múlt hét biztonsági szenzációjának számító bejelentést a Microsoft március 13-án tette meg, amikor az MS12-020 riportban figyelmeztettek a kritikus hibára, amely lehetővé teszi, hogy a felhasználó engedélye nélkül futtathasson valaki egy kódot a célba vett gépen. Ahogy leírják, a rés a távoli elérést biztosító protokoll implementációjában (Remote Desktop Protocol – RDP) található. A kártékony programok kívülről történő szabad futtatásának lehetősége a legsúlyosabb biztonsági hibák egyike, de jelen esetben némileg mérsékelte, mérsékli a kockázatokat, hogy az RDP alapértelmezetten nincs engedélyezve, így azok a gépek nem voltak, nincsenek veszélyben, ahol nem jelölték be ezt az opciót. Ugyanakkor az RDP használói (zömmel vállalatok) komoly kockázatnak vannak kitéve, még akkor is, ha rendszereiket egyéb módokon (például tűzfallal) megfelelően védik, figyelmeztet a gyorsjavítás telepítését sürgető Microsoft.

ms12-020
Forrás: zdnet.com

A közleményben akkor leírták, hogy szinte bizonyos, hogy 30 napon belül megszületik egy, a sebezhetőséget kihasználó kártékony program, egy exploit, de erre messze nem kellett ennyi időt várni, kínai hackerek már március 16-án közzétettek az interneten egy ilyen kódot. Ám erről a kódról kiderült, hogy olyan egyedi elemeket tartalmaz, melyeket az RDP-s sebezhetőséget tavaly májusban felfedező Luigi Auriemma biztonsági szakember készített (proof-of-concept exploit), aki leírását eljuttatta a ZDI-hez (Zero Day Initiative), mely szervezet a kutatóktól érkező információkkal segíti a gyártókat. Auriemma gyorsan reagált, és kifejtette, hogy a ZDI vagy a Microsoft az általa megadott adatok alapján valószínűleg készített egy tesztelésre használható exploitot, amit aztán a vírusvédelmi cégekkel való együttműködést biztosító Microsoft Active Protections Program (MAPP) keretében megosztottak a gyártókkal. Vagyis: az exploit vagy a ZDI-től, vagy a Microsofttól, vagy pedig az egyik partner biztonsági cégtől szivárgott ki – vélte Auriemma.

Pénteken kiderült, hogy helyes volt a feltételezése, mivel a Microsoft elismerte, hogy az MAPP rendszere volt lyukas, és vizsgálják, hogy vajon pontosan ki vagy kik a felelősök az adatszivárgásért.

Azóta történt

Előzmények