Masz Windows - spodziewaj się ataku

Pojawiły się już pierwsze 'exploity', umożliwiające wykorzystanie najnowszych błędów Windows do przeprowadzenia ataku na komputery pracujace pod kontrolą tego systemu. Wykryto także pierwsze próby skanowania sieci pod kątem podatności systemów na ich działanie. "Wydaje się, że ktoś połączył exploit z programem do skanowania sieci i usiłuje sprawdzić, które komputery mogą być podatne na atak" - mówi Johannes Ullrich z ISC. "Może to świadczyć o przygotowaniach do wprowadzenia do Internetu nowego, groźnego robaka" - dodaje Kamil Konieczny z firmy MKS.

W ubiegłym tygodniu Microsoft udostępnił pakiet uaktualnień, usuwających ok. 20 błędów w zabezpieczeniach produktów koncernu. Zaledwie kilka dni później pojawił się już pierwszy 'exploit', umożliwiający wykorzystanie jednego z błędów (w bilbiotece SSL) do przeprowadzenia ataku na komputer. O błędach w zabezpieczeniach systemu Windows oraz usuwających je uaktualnieniach pisaliśmy szerzej w tekście "Microsoft łata... 20 dziur" - http://www.pcworld.pl/news/65608.html .

W sobotę we francuskim serwisie http://www.K-Otik.com udostępniono kolejnego 'exploita' - ten z kolei potrafi wykorzystać błąd w usłudze Local Security Authority Subsystem (LSASS). Eksperci ostrzegają, że może on posłużyć do przeprowadzenia zdalnego, automatycznego ataku na komputer pracujący pod kontrolą systemu Windows. Co ważne, zbędne będzie jakiekolwiek działanie użytkownika - kod zostanie uruchomiony automatycznie, bez wiedzy i zgody użytkownika. Autor udostępnionego przez K-Otik.com exploita zastrzega co prawda, że stworzony przez niego kod wymaga pewnych modyfikacji, zanim będzie mógł być wykorzystany do przeprowadzenia ataku na komputer lub stworzenia wirusa, jednak, zdaniem ekspertów, dla specjalisty nie będzie to szczególnie trudne zadanie.

Komputer pod kontrolą hakera

Według Microsoftu błąd w zabezpieczeniach usługi LSASS umożliwia wywołanie tzw. błędu przepełnienia bufora i, w konsekwencji, uruchomienie na zaatakowanej komputerze dowolnego kodu - koncern ostrzega, że pozwala to nieautoryzowanemu użytkownikowi na przejęcie pełnej kontroli nad komputerami pracującymi pod kontrolą systemu Windows XP i 2000.

Johannes Ullrich, szef działającego przy instytucie SANS Internet Storm Center mówi, że jak na razie nie odnotowano żadnych prób wykorzystania błędu w LSASS do przeprowadzenia ataku na komputer - co nie znaczy jednak, że udostępniony właśnie exploit nie stanowi żadnego zagrożenia. "Na szczęście ten kod wymaga jeszcze modyfikacji, dlatego na razie raczej nie spodziewamy się fali ataków z jego wykorzystaniem" dodaje Neel Mehta, specjalista z ISS. Mehta przypomina jednak od razu, że to nie pierwszy exploit, wykorzystujący 'nowe' błędy w Windows (o pojawieniu się pierwszego informowaliśmy już w piątek, w tekście Dziura w SSL - jest już 'exploit'! - http://www.pcworld.pl/news/65904.html ) - "ISS zanotowało już znaczną liczbę prób wykorzystania tego kodu do zaatakowania komputerów. To z reguły świadczy o próbach stworzenia robaka, który wykorzystywałby ów błąd do automatycznego rozprzestrzeniania się" - tłumaczy Neel Mehta.

Już skanują

"Rzeczywiście, my również odnotowaliśmy pewną liczbę prób uzyskania dostępu do systemów informatycznych poprzez błąd w SSL - wydaje się, że ktoś połączył udostępniony w piątek exploit z programem do skanowania sieci i usiłuje sprawdzić, które komputery mogą być podatne na atak" - mówi Johannes Ullrich.

Słuszność tej teorii potwierdza również Kamil Konieczny z firmy MKS - "Owszem, wzmożone skanowanie Sieci może świadczyć o przygotowaniach do wprowadzenia do Internetu jakiegoś nowego, groźnego robaka. Równie dobrze jednak możemy mieć do czynienia ze zwiększoną ilością ataków już znanych robaków - zwłaszcza, że niedawno został udostępniony kod źródłowy robaka Gaobot (aka Agobot aka Phatbot). Niewykluczone jest na przykład, że autor Agobota próbuje 'wzbogacić' swoje dzieło o zdolność wykorzystywania nowych dziur do rozprzestrzeniania się" - tłumaczy Kamil Konieczny. Jego zdaniem, nowy robak, potrafiący rozprzestrzeniać się z wykorzystaniem błędów w SSL lub LSASS, mógłby spowodować w Sieci zamieszanie porównywalne z zakłóceniami spowodowanymi przez osławionego Blastera.

Przypomnijmy - Blaster (znany rówież jako MSBlast) pojawił się w sierpniu 2003 r. Robak w zastraszającym tempie rozpowszechniał się w sieci, do infekowania kolejnych komputerów wykorzystując poważny błąd w zabezpieczeniach systemu Windows. Do jego usunięcia niezbędne było m.in. "załatanie" owej dziury (poprzez zainstalowanie udostępnionego przez Microsoft patcha). Z danych opublikowanych w październiku 2003 przez amerykańskie stowarzyszenie Information Technology Association of America wynika, że celem ataku tego "insekta" stało ponad 50% amerykańskich internautów, korzystających z systemów Windows.

Microsoft określił większość ostatnich błędów jako krytyczne i zaleca użytkownikom jak najszybsze ich załatanie (więcej informacji o tym, skąd pobrać uaktualnienia, znaleźć można tutaj: http://www.pcworld.pl/news/65608.html ). Problem dotyczy systemów Windows XP, 2000 oraz Windows Server 2003.


Zobacz również