SecurityWorld | 05.10.09
Stephen Fewer ze společnosti Harmony přišel s novým typem útoku, jímž dá zneužít chyba v protokolu SMB 2 (Server Message Block) u novějších Windows. Problém je, že tento kód byl už zařazen od open source nástroje Metasploit.
Stephen Fewer ze společnosti Harmony přišel s novým typem útoku, jímž dá zneužít chyba v protokolu SMB 2 (Server Message Block) u novějších Windows. Problém je, že tento kód byl už zařazen od open source nástroje Metasploit.
Metasploit je sice primárně určen pro testování, útočníci ho však často používají k průniku do systémů. Postup zneužití chyby v SMB 2 už dříve vyvinula společnost Immunity (známá nástrojem Canvas pro penetrační testování) příslušný kód byl ale k dispozici pouze jejím zákazníkům. Naopak Metasploit je rozšířený masově.
Chyba v SMB se týká Windows novějších než Windows XP a Windows Serveru 2003. Jak je účinný útok Fewera je ovšem sporné – dokonce je možné, že funguje pouze pro jeden typ Windows Vista spuštěných jako virtuální stroj ve VMware a v ostatních případech systém pouze zatuhne, útočník ho však neovládne. Jiní odborníci dotazovaní americkým Computerworldem uvádějí, že ale ohrožuje veškerá Windows Vista bez ohledu na způsob spuštění i servisní balíčky a také Windows Server 2008. Windows 7 by se tento útok týkat neměl (jakkoliv samotná zranitelnost v SMB ano).
Microsoft přiznal kritické zranitelnosti ve Windows Vista i Windows 7
Microsoft potvrdil účinnost útočného kódu od společnosti Immunity, k útoku zařazenému do Metasploitu se zatím nevyjádřil.
Zdá se ale, že stávající situace by neměla vyústit v epidemii podobnou červu Conficker z přelomu roku – mj. i proto, že novější systémy Microsoftu se na trhu zatím prosadily spíše nevýrazně.
Microsoft chybu v SMB 2 zatím neopravil, připravil pouze automatizovaný nástroj, jak problém obejít a tento protokol vypnout. Tím se ovšem sníží možnosti síťové kokunikace (SMB slouží ke sdílení souborů a tiskáren). Společnost Gartner uvedla, že podle jejího názoru je proto většina počítačů s Windows Vista stále zranitelných.
Viz také: Microsoft nabízí, jak obejít problém v SMB
Společnost Immunia uvádí, že vyvojáři Microsoft její exploit nadále zkoumají. Není podle Immunie pravděpodobné, že by Microsoft uváděl mimořádnou záplatu, ale do příštího úterý, kdy je pravidelný termín pro uvádění aktualizací Microsoftu, by opravu stihnout mohl.
Sdílet
Komentáře