Krytyczne luki w Windows załatane

Microsoft udostępnił wczoraj wieczorem czasu polskiego najnowszy pakiet poprawek dla swoich produktów. Wśród nich znalazły się uaktualnienia usuwające trzy krytyczne błędy z kernela Windows, a także patch rozwiązujące kilka poważnych problemów w module odpowiedzialnym za obsługę DNS (czyli Windows Directory Name System).

Koncern uznał luki załatane w kernelu za krytyczne, ponieważ każda z nich pozwala teoretycznie na uruchomienie w systemie złośliwego kodu bez żadnej akcji ze strony użytkownika (atak będzie w pełni automatyczny). Pozostałe załatane błędy - wspomnianą już dziurę w Windows DNS, a także lukę w oprogramowaniu zabezpieczającym SChannel - uznano za "poważne". W nomenklaturze Microsoftu oznacza to, iż nie mogą one być wykorzystane do automatycznego przejęcia kontroli nad systemem Windows.

Dziurawy kernel

Zdaniem specjalistów ds. bezpieczeństwa, administratorzy maszyn z Windows powinni w pierwszej kolejności wdrożyć poprawkę dla kernela opisaną w biuletynie MS09-006. Eric Schultze, szef działu technicznego firmy Shavlik Technologies, tłumaczy, że przestępcy zainteresują się tą luką w pierwszej kolejności, ponieważ pozwala ona na skuteczne zaatakowanie komputera w prosty sposób - wystarczy, że podsuną użytkownikowi odpowiednio spreparowaną grafikę, e-maila lub odnośnik do "złośliwej" strony WWW. Użytkownik nie musi nic robić z takimi dokumentami - wystarczy, że zostaną one wyświetlona na komputerze.

Warto dodać, że problem dotyczy wszystkich supportowanych przez Microsoft wersji Windows (czyli Windows 2000, XP, Server 2003, Vista oraz Server 2008 - w każdym przypadku patch ma status krytyczny).

Poufne dane zagrożone

Schultze dodaje, że użytkownicy powinni szybko zainstalować również poprawkę dla Windows DNS, usuwającą w sumie aż cztery różne błędy z tego komponentu. Jak już wspomnieliśmy, błędy te nie pozwalają co prawda na uruchomienie w systemie złośliwego kodu - ale mogą za to zastać wykorzystane do przeprowadzenia ataku "man in the middle". Polega on na takim manipulowaniu wpisami DNS, by użytkownik wpisujący adres zaufanej strony WWW (np. ebanku) trafił na fałszywą witrynę, do złudzenia przypominającą oryginał. Ataki takie wykorzystywane są do wykradania poufnych danych (np. haseł i loginów).

Specjaliści podkreślają, że ataki typu "man in the middle" w ostatnich miesiącach stają się coraz bardziej popularne - to efekt wykrycia rok temu przez hakera Dana Kaminsky'ego poważnego błędu w większości implementacji DNS (luka ta pozwala na przeprowadzanie takich ataków). Większość producentów oprogramowania DNS uaktualniła już swoje produkty - cyberprzestępcy korzystają jednak z tego, że nie wszyscy użytkownicy zainstalowali poprawki.

Microsoft dmucha na zimne?

Warto dodać, że dwa z czterech błędów załatanych w Windows DNS to właśnie luki powiązane z odkryciem Kaminsky'ego. Specjaliści podkreślają jednak, że ich załatanie to raczej przejaw "dmuchania na zimne" - zdaniem Matta Watchinski'ego z firmy Sourcefire, obie luki są bardzo trudne do wykorzystania w prawdziwym ataku. Watchinski zgadza się też co do tego, że użytkownicy w pierwszej kolejności powinni instalować poprawki dla kernela - choćby dlatego, że co najmniej jedna z nich jest wyjątkowo łatwa do wykorzystania (ekspert twierdzi, że atak może być przeprowadzony znacznie łatwiej, niż sądzi Microsoft - jego zdaniem pojawienie się skutecznego exploita jest kwestią godzin).

Ostatnią załataną przez Microsoft luką jest błąd w oprogramowaniu SChannel (wykorzystywanym do tworzenia bezpiecznych połączeń SSL - Secure Sockets Layer). Pozwala on na stworzenie fałszywego cyfrowego certyfikatu.

Poprawki dla Excela nie ma

Warto wspomnieć, że Microsoft nie załatał wykrytej kilka dni temu poważnej luki w zabezpieczeniach arkusza kalkulacyjnego MS Excel. Błąd ten jest już wykorzystywany do atakowania użytkowników (aczkolwiek liczba ataków jest niewielka). Microsoft nie poinformował, kiedy można spodziewać się udostępnienia poprawki.

Rekomendowanym przez koncern sposobem pobrania poprawek jest skorzystanie z mechanizmu Microsoft Update. Więcej informacji o marcowych uaktualnieniach znaleźć można na stronie Microsoftu.


Zobacz również