Windows Update do wymiany

Czterej amerykańscy naukowcy udowodnili, że mechanizm aktualizacji systemu Windows może być wykorzystywany do automatycznego tworzenia exploitów. Czas potrzebny na jego opracowanie z wykorzystaniem informacji z Windows Update nie przekracza kilku minut.

Według autorów raportu, przy pomocy odpowiednich narzędzi - na podstawie różnic między wersją zaktualizowaną, a tą sprzed aktualizacji - odpowiednie oprogramowanie jest w stanie wygenerować exploity wykorzystujące określone, teoretycznie załatane błędy. Jest to szczególnie niebezpieczne, ponieważ poprawki publikowane w ramach Windows Update często dotyczą luk nieznanych opinii publicznej. Tym samym mechanizmy aktualizacji Microsoftu mogą stać się nieocenionym źródłem wiedzy dla cyberprzestępców.

Obserwacje oparto na analizie poprawek dla pięciu produktów Microsoftu. Przykładowo, stworzenie exploita umożliwiającego przejęcie kontroli nad komputerem na podstawie załatanej luki w interfejsie graficznym Windows, zajęło autorom raportu mniej niż dwie minuty. Poprawka została udostępniona za pomocą Windows Update w sierpniu 2007 r. Z tego powodu istniejące mechanizmy aktualizacji mogą stanowić poważne zagrożenie dla bezpieczeństwa IT i jako takie powinny zostać przeprojektowane - uznali naukowcy.

Eksperci podkreślają, że zbadana przez nich metoda może już być wykorzystywana przez hakerów. Microsoft zwykł publikować najważniejsze poprawki w każdy drugi wtorek miesiąca, zaś exploity wykorzystujące załatane luki pojawiają się w Internecie już po kilku godzinach. Automatyzacja procesu analizy poprawek i tworzenia stosownego oprogramowania może jeszcze skrócić czas reakcji cyberprzestępców. Jednocześnie większość użytkowników oprogramowania Microsoftu nie instaluje poprawek publikowanych w Windows Update od razu po ich udostępnieniu i tym samym stwarza dodatkowe zagrożenie bezpieczeństwa własnych komputerów.

Raport napisany został przez Davida Brumleya i Pongsina Poosankama z Carnegie Mellon, Dawna Songa z Uniwersytetu w Berkeley i Jianga Zhenga z uczelni w Pittsburgu. Jego pełna wersja jest dostępna na stronie: http://www.cs.cmu.edu/~dbrumley/pubs/apeg.html

Więcej o bezpieczeństwie systemów:

67% administratorów baz danych Oracle nie instaluje poprawek

Hakerzy zaglądają do banków i serwisów Web 2.0

Włamania przy użyciu procesora

Wyszukiwarka Google narzędziem w rękach phisherów


Zobacz również