Redmond przyznaje: w Windows jest groźny błąd

Microsoft oficjalnie potwierdził, że w protokole SMB 2 znajduje się niebezpieczny błąd, narażający system Windows na atak. Problem dotyczy Windows Vista, Server 2008 oraz Windows 7 RC.

SMB (Server Message Block) 2 to opracowany przez Microsoft protokół umożliwiający udostępnianie plików oraz drukarek - oprogramowanie to jest standardowo dołączane do Windows. W poniedziałek pewien ekspert ds. bezpieczeństwa opublikował w Sieci exploita, który wykorzystuje nieznany wcześniej błąd w SMB 2 do zdalnego zawieszenia systemu Windows - zaatakowany system natychmiast wyświetla osławiony BSOD (Blue Screen of Death).

Inni specjaliści natychmiast zajęli się testowaniem exploita - Tyler Reguly z firmy nCircle Network Security dowiódł, że jest on skuteczny w przypadku Visty, Server 2008 oraz Windows 7 (ale tylko wydania RC - najnowsza wersja, RTM, jest bezpieczna). Kolejnego dnia - we wtorek - ceniony specjalista Ruben Santamarta napisał na liście mailingowej Bugtraq, iż luka może zostać wykorzystana nie tylko do zawieszania systemu - z jego analiz wynika, że możliwe jest także zdalne uruchomienie kodu w zaatakowanej maszynie i przejęcie nad nią pełnej kontroli.

Niektórzy uznali, że te wnioski są nieco przesadzone - ale nieoczekiwanie informacje o problemie potwierdził Microsoft. W specjalnym alercie wydanym z tej okazji, firma napisała: "Osoba, która zdoła wykorzystać ową lukę, może przejąć kontrolę nad systemem - aczkolwiek w większości przypadków próby skorzystania z błędu skończą się zawieszeniem systemu". Koncern przyznał też, że na atak podatne są Windows 7 i Windows Server 2008 R2 - ale tylko w wersjach testowych. Gotowe wydania "produkcyjne" (RTM) nie są podatne na atak przez lukę w SMB 2. Co oczywiście nie znaczy, że nie ma problemu - z Windows 7 RC korzystają miliony użytkowników na całym świecie. "Tę lukę zgłoszono nam wiele tygodni po udostępnieniu Windows 7 Release Candidate - w związku z tym osoby korzystające z tego oprogramowania powinny podjąć odpowiednie działania zapobiegawcze [opisane w alercie Microsoftu - red.]" - napisano w komunikacie.

Koncern zastrzegł też, że starsze systemy - Windows 2000, XP oraz Server 2003 - również nie są podatne na atak (ponieważ nie są wyposażone w SMB 2). Wiadomo już, że koncern pracuje nad poprawką - ale na razie nie podano, kiedy będzie gotowa (teoretycznie kolejny pakiet uaktualnień Microsoftu powinien pojawić 13 października - ale niewykluczone, że koncern udostępni poprawkę wcześniej, poza standardowym terminarzem).

Dopóki nie pojawi się poprawka, koncern zaleca użytkownikom, by wyłączyli SMB 2 - wprowadzając odpowiednie zmiany do rejestru systemowego (problem w tym, że to operacja zbyt skomplikowana dla większości użytkowników) lub zablokowali w firewallu porty 139 oraz 445 (to z kolei może zakłócić pracę niektórych aplikacji - np. przeglądarek).

O dziwo, tym razem nastroje uspokaja nie Microsoft, lecz niezależni specjaliści (zwykle jest odwrotnie - koncern z Redmond utrzymuje, że zagrożenie jest minimalne, a eksperci są innego zdania). "Moim zdaniem standardowo skonfigurowany Windows jest wystarczająco zabezpieczony i szansa na przeprowadzenie skutecznego ataku jest nikła" - skomentował Andrew Storms, szef działu bezpieczeństwa firmy nCircle.

O luce w SMB 2 wspomnieliśmy już wcześniej w tekście "Patche Microsoftu - dwóch zabrakło".


Zobacz również