Wielkie łatanie Microsoftu

Microsoft udostępnił właśnie sierpniowy pakiet uaktualnień dla swoich produktów, tym razem zawierający 6 "łat", usuwających groźne błędy w systemie Windows oraz przeglądarce Internet Explorer. Trzy z nich oznaczone zostały jako "krytyczne" - oznacza to, że umożliwiają one zdalne przejęcie kontroli nad systemem bez żadnej akcji ze strony użytkownika. W jednym przypadku do przeprowadzenia skutecznego ataku wystarczy wyświetlenie odpowiednio spreparowanej grafiki w formacie JPEG.

Najgroźniejsze z załatanych właśnie "dziur" to błędy w systemie Plug-and-Play (wykorzystywanym do automatycznego konfigurowania urządzeń peryferyjnych), oprogramowaniu Print Spooler oraz przeglądarce Internet Explorer - to właśnie one uznane zostały przez Microsoft za "krytyczne".

Błąd w Plug-and-Play wykryła firma Internet Security Systems - umożliwia on zdalne uruchomienie na zaatakowanej maszynie dowolnego kodu. Problem dotyczy systemów Windows 2000, XP oraz Windows Server 2003 - aczkolwiek najłatwiej przeprowadzić atak na Windows 2000. Więcej informacji na ten temat można znaleźć w biuletynie MS05-039.

Na podobne niebezpieczeństwo naraża użytkowników Windows błąd w Print Spooler (on również występuje w Windows 2000, XP oraz Server 2003), zgłoszony Microsoftowi przez CERT RENATER. Problem szczegółowo opisano w biuletynie MS05-043.

Komentuje Michał Jarski z firmy ISS:

Najgroźniejsze według nas luki załatane przez Microsoft to:

- dziura w mechanizmie P&P umożliwiająca wykonanie ataku typu przepełnienie stosu (heap overflow) - jest ona powszechnie eksploatowana w nadal popularnym systemie Windows 2000; nie są jeszcze znane formy ataku, ale ISS X-Force przewiduje, że przyjmie on postać poprzedzonego skanowaniem robaka, skierowanego przeciwko Win 2k. Smaczku sprawie dodaje polityka Microsoftu, polegająca na "wygaszaniu" supportu dla starszych Windowsów, co w tym wypadku oznacza, że któraś z kolejnych takich dziur zwyczajnie nie doczeka się patcha producenta;

- dziura w Print Spoolerze, która dotyczy praktycznie wszystkich systemów Windows z podłączonymi lokalnie lub zdalnie (sieciowo) drukarkami. Tutaj problem polega na tym, że nie można po prostu wyłączyć spoolera, aby pozbyć się problemu, bo "wylejemy dziecko z kąpielą" - nie mogąc nic drukować.

- dziura w przetwarzaniu obrazów JPEG przez Internet Explorer - tutaj najgorsza jest powszechność IE oraz odtwarzanych przez niego obrazów JPEG. Do tego dochodzi fakt, że do przeprowadzenia takiego ataku zbędne jest jakiekolwiek działanie użytkownika.

Pakiet łat dla IE

"Krytyczne" uaktualnienie dla Internet Explorer to tzw. cumulative patch - czyli pakiet łatek, usuwający trzy różne błędy w programie. Najważniejszy z nich występuje w mechanizmie odpowiedzialnym za wyświetlanie grafiki w formacie JPEG. Został on uznany za specjalistów od zabezpieczeń za wyjątkowo niebezpieczny, ponieważ umożliwiał zaatakowanie komputera poprzez odpowiednio spreparowaną grafikę - do przeprowadzenia ataku wystarczyło jej wyświetlenie na komputerze. Więcej informacji znaleźć można w biuletynie MS05-038.

Dwa kolejne uaktualnienia - usuwające błędy w protokole Remote Desktop Protocol (biuletyn MS05-041) oraz windowsowej implementacji protokołu Kerberos (biuletyn MS05-042 - zostały uznane za "umiarkowanie ważne", zaś ostatnie - dotyczące usług Windows Telephony Service (biuletyn MS05-040)- za "ważne".

Przedstawiciele Microsoftu zalecają użytkownikom systemów Windows szybkie zainstalowanie wszystkich udostępnionych właśnie uaktualnień. Co prawda jak dotąd nie odnotowano żadnych prób ataku z ich wykorzystaniem, nie pojawiły się również exploity na nowe błędy, jednak eksperci są zgodni - ich stworzenie to tylko kwestia czasu.

Ataki już wkrótce?

Przedstawiciele ISS spodziewają się, że w pierwszej kolejności pojawią się exploity, umożliwiające przeprowadzenie ataku poprzez błąd w Plug-and-Play oraz błędy w Internet Eplorerze (w Sieci krążą już zresztą grafiki w formacie JPEG, których wyświetlenie w Internet Explorerze powoduje zawieszenie przeglądarki).

Najwygodniejszym sposobem pobrania udostępnionych właśnie uaktualnień jest skorzystanie z mechanizmu Microsoft Update. Po zainstalowaniu nowych patchy niezbędne będzie zrestartowanie systemu.

Więcej informacji o sierpniowych uaktualnieniach Microsoftu można znaleźć na stronie koncernu.

Aktualizacja: 12 sierpnia 2005 14:56

Minęło ledwie kilka dni od publikacji łatek dla systemów Microsoftu, a już pojawiły się w Internecie dwa działające i wykorzystujące dziurę w systemie Plug'n'Play exploity (patrz artykuł MS05-039). Jeden z nich udostępnia zdalnie linię poleceń na porcie TCP/8721, co daje intruzowi praktycznie nieograniczoną kontrolę nad zaatakowanym systemem.

Microsoft zaleca jak najszybsze zainstalowanie wszystkich uaktualnień.

Aktualizacja: 10 sierpnia 2005 14:33

Tekst został uzupełniony o ramkę z komentarzem Michała Jarskiego z firmy ISS.


Zobacz również