Patche Microsoftu - dwóch zabrakło

Microsoft udostępnił wczoraj kolejny, comiesięczny zestaw poprawek dla swoich produktów. Ale tym razem komentujący to wydarzenie specjaliści więcej mówią o patchach, których zabrakło niż o tych, które zostały opublikowane. Zdaniem ekspertów, we wczorajszym pakiecie brakuje dwóch istotnych uaktualnień - niewykluczone, że koncern będzie je musiał udostępnić w najbliższych tygodniach, poza swoim standardowym cyklem.

Najważniejszy błąd został ujawniony tuż przed udostępnieniem przez Microsoft wrześniowych poprawek - w poniedziałek na liście mailingowej Full Disclosure Laurent Gaffie opublikował exploita, pokazującego jak nieznany wcześniej błąd w oprogramowaniu SMB 2 (Server Message Block - to standardowy komponent systemów Windows Vista oraz Windows Server 2008) może zostać wykorzystany do zawieszenia komputera.

Ale zdaniem specjalistów ds. bezpieczeństwa zawieszenie maszyny to nie wszystko - błąd pozwala na przeprowadzanie znacznie groźniejszych ataków. Kostya Korchinsky, ekspert z firmy konsultingowej Immunity, mówi, że już po krótkiej analizie można z całą pewnością stwierdzić, iż możliwe jest wykorzystanie luki do tzw. eskalacji przywilejów w Windows (dzięki temu użytkownik o niskich uprawnieniach może zdobyć uprawnienia np. administratora). Taki atak można przeprowadzić tylko, jeśli atakujący ma już prawo dostępu do maszyny - może wtedy uzyskać dostęp do funkcji lub zasobów, które administrator teoretycznie zablokował. Ale to wciąż nie koniec - Korchinsky nie wyklucza, że ta sama luka może posłużyć do zdalnego zaatakowania systemu i przejęcia nad nim pełnej kontroli. Ekspert przyznaje jednak, że to wymagałoby od atakującego ogromnych umiejętności.

Podobną opinię przedstawili specjaliści z firmy SourceFire - oni również uważają, że błąd pozwala na groźniejsze działania niż tylko zawieszanie komputera. "Nie sądzimy, by była to luka pozwalająca wyłącznie na atak DoS [distributed denial of service - red.], ale na razie nie jesteśmy też skłonni z całą pewnością powiedzieć, że pozwala ona na przeprowadzenie zdalnego ataku i przejęcie pełnej kontroli nad komputerem" - powiedział Matt Watchinski, szef działąjącego w ramach SourceFire działu odpowiedzialnego za wykrywanie i analizowanie błędów w oprogramowaniu.

Odkrywca luki - Laurent Gaffie - mówi, że na atak oprócz Windows Vista i Server 2006 prawdopodobnie podatny jest również Windows 7 (ponieważ on również standardowo dostarczany jest z SMB 2). Wszyscy komentujący specjaliści podkreślają jeden fakt - SMB 2 jest zwykle domyślnie blokowany przez firewall, więc ewentualny atak będzie dość ograniczony.

Ale to nie jedyna luka, której Microsoft nie załatał na czas - koncern wciąż pracuje nad poprawką dla swojego serwera webowego - Internet Information Services (IIS). W ubiegłym tygodniu okazało się, że w jego zabezpieczeniach znajduje się poważny błąd, umożliwiający zawieszenie serwera lub przejęcie nad nim pełnej kontroli. Przedstawiciele Microsoftu uspokajają, że na atak podatny są jedynie stare wersje IIS (głównie 5.0), i to tylko w dość specyficznej konfiguracji - tzn. z uaktywnionym protokołem FTP i dozwolonym logowaniem się anonimowych użytkowników (nie są to domyślne ustawienia IIS). Koncern przyznał jednak, że odnotowano już pierwsze ataki przeprowadzana z wykorzystaniem tej luki.

Przypomnijmy: wtorkowy pakiet poprawek dla produktów Microsoftu zawiera 5 uaktualnień, usuwających w sumie 8 luk z Windows (m.in. błędy związane z obsługą multimediów, sieciami WLAN, protokołem TCP/IP oraz komponentami ActiveX). Więcej informacji znaleźć można na stronie Microsoftu. Rekomendowaną metodą pobrania patchy jest skorzystanie z mechanizmu Microsoft Update.


Zobacz również