Microsoft: Okna pełne dziur

Zgodnie z wcześniejszymi zapowiedziami, Microsoft udostępnił 9 uaktualnień dla swoich produktów. Wśród nich znalazły się trzy łatki oznaczone jako "krytyczne" - dwie dla systemu Windows i jedna dla przeglądarki Internet Explorer. Eksperci zalecają użytkownikom jak najszybsze zainstalowanie uaktualnień - ich zdaniem ujawnione właśnie luki w systemie mogą szybko zostać wykorzystane przez twórców wirusów. Szczególnie zagrożeni są użytkownicy systemu Windows 2000 - ale właściciele komputerów z Windows XP także nie mogą spać spokojnie (przynajmniej dopóki nie zainstalują patchy). Im zagraża m.in. błąd w module DirectShow. "Mamy tutaj do czynienia z "biczem" na miłośników DivX, BitTorrentów i eMule. W spreparowanych odpowiednio plikach AVI, udostępnianych w sieciach P2P, mogą pojawić się sekwencje powodujące przepełnienie stosu w obsłudze pamięci przez moduł DirectShow i wykonanie ataku umożliwiającego przejęcie kontroli nad danym komputerem" - mówi Michał Jarski z ISS.

"Krytyczne" uaktualnienia (czyli takie, które wymagają natychmiastowego załatania, gdyż umożliwiają przeprowadzenie ataku na komputer bez żadnej akcji ze strony użytkownika) przeznaczone są dla przeglądarki Internet Explorer oraz dwóch elementów systemu Windows - modułu DirectShow (odpowiedzialnego za strumieniową transmisję multimediów), a także usług COM+ i modułu Microsoft Distributed Transaction Coordinator (MSDTC).

Windows 2000 w niebezpieczeństwie

Zdaniem ekspertów, najgroźniejsze są błędy MSDTC oraz COM+ (opisane w biuletynie MS05-051). Są one podobne do luk wykrytych w protokole Plug and Play w sierpniu (więcej na temat w materiale "Wielkie łatanie Microsoftu") - podobieństwo polega na tym, że błędy są najgroźniejsze w systemie Windows 2000 (choć występują również w innych wersjach Windows), mogą zostać w podobny sposób wykorzystane i występują w usługach standardowo uruchomionych w systemie. Specjaliści obawiają się, że mogą one posłużyć do stworzenia wirusa, który będzie w stanie błyskawicznie zainfekować tysiące komputerów pracujących pod kontrolą Windows 2000. Błąd w MSTDC został oznaczony jako "krytyczny" dla systemu Windows 2000 i "ważny" dla systemu Windows XP SP1 (użytkownicy Windows XP, którzy zainstalowali Service Packa 2, są bezpieczni). Luka w COM+ jest "krytyczna" w przypadku systemów Windows 2000 oraz Windows XP SP1.

Czekamy na następcę Zotoba?

"Błędy w COM+ i MSDTC są bardzo podobne do tych, które pozwoliły na stworzenie robaka Zotob" - mówi Mike Murray, z firmy nCircle Network Security. "Problem dotyczy tych samym platform, co w przypadku luki w P'n'P, co więcej - tu także luki występują w usługach domyślnie uruchamianych wraz z systemem. Tym razem błędy nie są może aż tak łatwe do wykorzystania, ale nie jest też to specjalne skomplikowane" - dodaje Neel Mehta z ISS.

Niebezpieczne strumienie

Niemniej groźna wydaje się również luka w DirectShow - może ona w prosty sposób posłużyć do zaatakowania komputera. Wystarczy, że "napastnik" zachęci użytkownika do odtworzenia odpowiednio zmodyfikowanego pliku multimedialnego - to pozwoli mu na uruchomienie na zaatakowanej maszynie niebezpiecznego kodu. "W tym przypadku niezbędne jest działanie użytkownika - to sprawia, że błąd trudniej wykorzystać niż luki w COM+ i MSDTC" - tłumaczy Neel Mehta. Problem dotyczy systemów Windows XP, Windows 2000, Windows Server 2003, Windows 98 oraz Windows ME.

Komentuje Michał Jarski z polskiego oddziału ISS:

Według ISS X-Force najważniejsze z listy MS są dwie dziury:

Pierwsza to luka w MSRPC-MSDTC. Distributed Transaction Coordinator (DTC) działa jako usługa RPC DCE i generalnie służy do obsługi kolejkowania zapytań bazodanowych lub odwołań do plików w rozproszonych środowiskach. Jest jednak uruchomiona domyślnie na Windowsach 2000, co powoduje, że bez żadnej interakcji ze strony użytkownika możliwe jest zdalne uruchomienie exploitu (robaka, trojana, etc.), który umożliwi całkowite przejęcie kontroli nad systemem. W nowszych platformach Windows wymagana jest autoryzacja zanim zostanie przeprowadzony właściwy atak, dlatego w zasadzie narażone są tylko systemy Win2k. Nie oznacza to jednak - jak dowodzi przykład Zotoba - że firmy na całym świecie są bezpieczne. Mamy do czynienia w zasadzie z taką samą sytuacją: firma pozostaje przy platformie Windows, nie może odpowiednio szybko założyć patchy (ze względu na skalę firmy), a wyłączenie usługi również nie wchodzi w grę, ponieważ unieruchomiłoby to cała firmę. Można zaryzykować stwierdzenie, że prędzej czy później pojawi się kolejny BOT-robak, który tę sprzyjającą sytuację wykorzysta. Może tym razem atak nie nastąpi tak szybko jak w przypadku Zotoba, ale to tylko po to, aby uśpić czujność administratorów

Drugi błąd to AVI parsing w DirectShow - tutaj mamy do czynienia z "biczem" na miłośników DivX, BitTorrentów i eMule. W spreparowanych odpowiednio plikach AVI, udostępnianych w sieciach P2P i ukrywających się pod atrakcyjnymi nazwami (najnowsze filmy, materiały pornograficzne), mogą pojawić się sekwencje powodujące przepełnienie stosu w obsłudze pamięci przez moduł DirectShow i wykonanie ataku umożliwiającego przejęcie kontroli nad danym komputerem. Dziura dotyczy wszystkich wersji Windows (win32), włączywszy w to Windows XP SP2 i Windows 2003. W zasadzie można powiedzieć - nie znasz dnia ani godziny. W końcu taki złośliwy plik avi może pojawić się nawet jako active content na dowolnej stronie WWW, a nawet zostać umieszczony na przejętych uprzednio przez hakerów stronach banków czy innych organizacji (np. jako nowa reklamówka).

Wśród pozostałych udostępnionych przez Microsoft uaktualnień znalazły się "ważne" patche dla NetWare Client Services, Windows Plug and Play, Microsoft Collaboration Data Objects oraz Windows Shell. Jako "umiarkowanie ważne" oznaczono luki w wbudowanym do systemu Windows klienci FTP oraz module Network Connection.

Ponowna premiera patcha

Warto przypomnieć, że październikowy "wysyp" patchy poprzedzony został przez wyjątkowo spokojny wrzesień - w ubiegłym miesiącu Microsoft udostępnił tylko jedno uaktualnienie, które zresztą zaraz wycofano (z powodu "problemów jakościowych"). Przedstawiciele koncernu potwierdzili teraz, że udostępnione właśnie "krytyczne" uaktualnienie dla Internet Explorer jest poprawioną wersją wrześniowego patcha.

Więcej informacji na temat najnowsze pakietu uaktualnień Microsoftu można znaleźć na stronie koncernu. Najwygodniejszym sposobem pobrania udostępnionych właśnie łatek jest skorzystanie z mechanizmu Microsoft Update.


Zobacz również