Pierwsza luka "zero-day" w Windows

Microsoft oficjalnie potwierdził, że w Windows 7 wykryto pierwszą lukę typu "zero-day". Firma zapowiedziała już, że przygotuje uaktualnienie - choć jej przedstawiciele zastrzegają, że problem nie jest poważny i do tymczasowego zabezpieczenia się wystarczy zablokowanie odpowiednich portów w firewallu.

Koncern opisał problem w opublikowanym właśnie alercie - potwierdzono w nim, że w protokole SMB (Server Message Block, wykorzystywanym w Windows m.in. do udostępniania plików i drukarek w Sieci) znajduje się pewien błąd, który może zostać zdalnie wykorzystany do zawieszenia systemu.

O luce jako pierwszy informował przez kilkoma dniami kanadyjski specjalista ds. bezpieczeństwa, Laurent Gaffie, który już w ubiegłą środę opublikował opis problemu oraz prototypowego exploita na Full Disclosure oraz swoim blogu. Z jego analiz wynika, że błąd pozwala na zdalne zawieszenie systemów Windows 7 oraz Server 2008 R2 - tak, że jedynym sposobem przywrócenia ich do życia będzie ręczne wymuszenie restartu.

Przez pierwszych kilka dni Microsoft analizował doniesienia specjalisty - teraz koncern zajął oficjalnie stanowisko w tej sprawie. "Wiemy, że pojawił się już powszechnie dostępny i starannie opisany exploit, który faktycznie może zmusić system do nieoczekiwanego zawieszenia lub zamknięcia. Jednocześnie chcielibyśmy zapewnić klientów, że jak do tej pory nie dotarły do nas żadne sygnały o wykorzystywaniu tego kodu do atakowania komputerów z Windows" - mówią przedstawiciele koncernu.

Dave Forstrom, rzecznik microsoftowego działu bezpieczeństwa, zastrzega, że błąd nie pozwala na instalowanie w systemie złośliwego kodu i że atak możliwy jest wyłączenie w przypadku dwóch wersji Windows - 7 oraz Server 2008 R2. "Inne wydania - m.in. Vista, Server 2008, XP, Server 2003 czy 2000 - nie są podatne na atak" - mówi przedstawiciel koncernu.

Wiadomo już, że atak może zostać przeprowadzony za pośrednictwem dowolnej przeglądarki, a nie tylko Internet Explorera - do jego przeprowadzenia wystarczy zwabienie użytkownika na odpowiednio spreparowaną stronę WWW, która prześle do systemu "złośliwe" pakiety SMB i spowoduje jego zawieszenie.

Microsoft wstępnie zapowiedział, że przygotuje poprawkę usuwającą błąd z Server Message Block - jednak koncern nie sprecyzował, kiedy to nastąpi. Ale raczej nie należy się spodziewać, by nastąpiło to szybko (tzn. przed drugim wtorkiem grudnia) - z wypowiedzi przedstawicieli firmy wynika, że nie uważają problemu za bardzo poważny. We wspomnianym alercie Microsoft zaleca użytkownikom zastosowanie tymczasowego zabezpieczenie - tzn. zablokowanie w firewallu portów TCP 139 oraz 445 (aczkolwiek taka operacja może utrudnić korzystanie z niektórych funkcji przeglądarek oraz pewnych zasobów i funkcji w sieci lokalnej).

Warto odnotować, że jest to pierwsza luka wykryta w nowym systemie Microsoftu luka typu "zero-day" (czyli taka, która została ujawniona i na którą powstał skuteczny exploit zanim koncern przygotował odpowiednią poprawkę).


Zobacz również