Microsoft vydal mimořádnou záplatu pro Windows na poslední chvíli

28. 10. 2008

Sdílet

Krátce po uvedení mimořádné záplaty Microsoftu se objevil i kód zneužití chyby. Jedním z možných útoků je červ Gimmiv umožňující útočníkovi vzdálené ovládnutí počítače. Microsoft vydal kritickou záplatu pro Windows minulý týden a jednalo se o vypuštění mimo plán, neboť jinak jsou aktualizace uvolňovány najednou vždy každé druhé úterý v měsíci.

Krátce po uvedení mimořádné záplaty Microsoftu se objevil i kód zneužití chyby. Jedním z možných útoků je červ Gimmiv umožňující útočníkovi vzdálené ovládnutí počítače. Microsoft vydal kritickou záplatu pro Windows minulý týden a jednalo se o vypuštění mimo plán, neboť jinak jsou aktualizace uvolňovány najednou vždy každé druhé úterý v měsíci.

K podobnému kroku Microsoft naposledy přistoupil loni v dubnu; loňský problém se týkal zpracování souborů ANI ve Windows. Tehdy byla chyba široce známa a existovaly stovky serverů obsahujících kód pro zneužití. Naopak o podstatě aktuální zranitelnosti nejsou před jejím vydáním k dispozici žádné informace. Předpokládá se pouze, že zranitelnost byla odhalena na nedávné interní bezpečnostní konferenci Microsoftu (Blue Hat).

Až do minulého čtvrtka nebylo o povaze opravené zranitelnosti prakticky nic známo. Útočníci ovšem po zveřejnění informací zareagovali rychle, takže vydaná záplata paradoxně vyvolala vznik nového malwaru. Je pravděpodobné, že bez jejího zveřejnění by nevznikl ani Gimmiv a tak vlastně místo opravy na poslední chvíli přišel Microsoft s impulzem pro útočníky soustředit se na neaktualizované počítače.

Chyba se týká serverových verzí Windows používaných např. jako tiskové nebo souborové servery. Zranitelné jsou počítače v síti Windows využívají příslušné služby; k serveru se může „připojit“ i útočník, jemuž stačí k ovládnutí počítače pouze spustit příslušný kód. Zranitelný je jakýkoliv počítač s Windows přistupující ke službám serveru. Jakmile se zjistilo, v čem spočívá problém, bylo vytvoření exploitu v řadě variant údajně jednoduché. Vlastním způsobem zneužití je přetečení zásobníku.
I přes závažnost chyby se ale nepředpokládá masové zneužití (americký Computerworld se dotazoval společností Symantec a McAfee, které zatím např. červ Gimmiv zaznamenaly jen v malé míře). Červ napsaný za tímto účelem bude nejspíš zablokován na firewallech. Jeho šíření v sítích LAN, pokud do nich jednou pronikne, může být ovšem bleskové.

U Windows Vista a Windows Serveru 2008 se navíc pro počítač v síti vyžadují další způsoby ověřování, a chyba by proto neměla v těchto systémech být tak závažná. Navíc v tomto případě záplata předcházela pokusům o zneužití. Otázkou spíše je, jak se stalo, že tak klasická chyba, jakou je přetečení zásobníku, nebyla při kontrolách kvality softwaru zachycena. Chyba tedy může být v interní testovací metodice Microsoftu – což by znamenalo, že obdobný problém se může vyskytnout i jinde.