Kritickou chybu ve Windows má Microsoft, ohrožené jsou miliony strojů

12. 2. 2015

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Microsoft vydal v úterý kritickou záplatu pro Windows, která opravuje nebezpečnou zranitelnost, díky níž útočníci mohli převzít na dálku plnou kontrolu nad systémy nic netušících uživatelů. Oprava pro Windows Server 2003 však vydaná nebude.

Vývoj a testování aktualizace pro chybu přezdívanou jako JASBUG, trval více než rok a byla díky ní zpřísněna mimo jiné i Skupinová politika (Group Policy), což je funkce, která umožňuje organizacím centrálně spravovat systémy s Windows.

Díra byla podle bezpečnostní konzultantské společnosti JAS Global Advisors ukryta přímo ve Skupinové politice po více než deset let. JAS Global Advisors spolu se společností simMachines o existenci díry informoval Microsoft v lednu 2014.

„Narozdíl od známých děr jako Heartbleed, Shellshock, Gotofail a POODLE je tato díra obsažena přímo ve struktuře Skupinové politiky,“ uvedl na svých webových stránkách JAS. Aby ji mohl opravit, musel proto Microsoft předělat klíčové komponenty svého operačního systému a přidat několik nových funkcí.

Microsoft se tomuto bezpečnostnímu riziku věnoval v bulletinu MS15-011. Inženýři amerického gigantu na blogu vysvětlili, že útočníci tyto díry zneužívali za použití technik jako ARP spoofing na lokální síti, díky nimž přiměli počítače akceptovat a aplikovat špatné nastavení Skupinové politiky ze serverů, které měli pod kontrolou.

Při úspěšném zneužití díry byli útočníci schopni na dálku na počítače instalovat programy, měnit data nebo vytvářet nové účty. JAS plánuje vydat techničtější podrobnosti o zmíněné díře později v tomto měsíci.

Microsoft ve snaze zabránit útokům přinesl na systémy s aktualizací MS15-011 novou funkci zvanou jako UNC (Universal Naming Convention) Hardened Access. Ta vyžaduje, aby se klient i server autentifikovali před tím, než klient přistoupí k obsahu UNC (jímž jsou například data Skupinové politiky) na serveru.

I když problém postihuje všechny podporované verze Windows, Microsoft se rozhodl, že patch nevydá pro Windows Server 2003, jehož podpora bude ukončena 14. července.

ICTS24

Podle Microsoftu nemělo smysl vytvářet záplatu i pro Windows Server 2003, jelikož by musel být předělán nejen komponent Skupinové politiky, ale i další významné části operačního systému. Kvůli tomu by pak mohly vzniknout problémy s kompatibilitou u aplikací, jež byly navrženy přímo pro Windows Server 2003.

I když toto odůvodnění dává smysl, řada firem používajících Windows Server 2003 až do července i nadále očekává vydávání bezpečnostních aktualizací. Na tomto operačním systému běží po celém světě stále miliony počítačů a analytici předpovídají, že jejich migrace na novější verzi OS bude obtížná, jelikož okolo zastaralého OS firmy postavily celý „ softwarový ekosystém“.