A múlt héten HD Moore, a Rapid7 biztonsági igazgatója és a Metasploit fejlesztője arra hívta fel a figyelmet, hogy egy olyan sebezhetőséget sikerült kimutatni több alkalmazásban, amely kártékony kódok futtatásához, és egyes esetekben az érintett rendszerek feletti teljes irányítás átvételéhez is hozzásegítheti a támadókat.
Moore a biztonsági problémára valószínűleg akkor figyelt fel, amikor az Apple iTunes-t vizsgálta. Kiderült ugyanis, hogy ezt a fajta sérülékenységet az Apple fejlesztői négy hónappal ezelőtt az iTunes esetében már megszüntették. Azonban a biztonsági rés alaposabb vizsgálatakor nyilvánvalóvá vált, hogy az legalább negyven további alkalmazást is érint. Legalábbis addig így lehetett tudni, amíg Mitja Kolsek, az Acros Security elnök-vezérizgatója be nem jelentette, hogy ezt a problémát már több mint négy hónapja jelezték a Microsoftnak. Az azóta eltelt időszakban pedig kiderült, hogy 220 neves szoftverfejlesztő cég közül legalább száznak van olyan szoftvere, amely tartalmazza a biztonsági hibát. Azt viszont egyelőre egyik szakember sem kívánta elárulni, hogy mely alkalmazásokban sikerült kimutatni a sérülékenységet. HD Moore azért annyit megerősített, hogy a Windows egyik legfontosabb állománya, az explorer.exe is sebezhető.
Mi okozza a hibát?
Sem HD Moore, sem Mitja Kolsek nem igen kívánta mélyebben ismertetni a sérülékenység technikai részleteit. Kicsit bőbeszédűbb Kolsek volt, aki elmondta, hogy alapvetően a problémát az jelenti, hogy az alkalmazások egyes esetekben ártalmas DLL-állományokat és egyéb szoftveres összetevőket is betölthetnek. "A támadást elsősorban az teszi lehetővé, hogy a Windows az aktuális munkakönyvtárat is belefoglalja abba a keresési listába, amely alapján betölti az egyes állományokat, komponenseket. A hekkerek a Windows-os alkalmazások széles körében alkalmazhatják azt a trükköt, amelynek segítségével a szoftvereket arra vehetik rá, hogy éppúgy töltsenek be kártékony dll és exe fájlokat, mint ahogy azt az ártalmatlan összetevőkkel tennék" - mondta a szakember. Emiatt a sebezhetőség kártékony kódok jogosulatlan futtatását is elősegítheti. Ezt az is alátámasztja, hogy az Apple az iTunes hibajavításakor jelezte, hogy egy olyan kódfuttatásra lehetőséget adó sérülékenységet orvosolt, amely kártékony multimédiás állományok megnyitásakor vagy ártalmas weblapok megtekintésekor okozhat problémákat.
Mi a megoldás?
A két szakember eltérően vélekedik a Windows sebezhetőségének javítási lehetőségeiről. Moore szerint a sérülékenységet elsősorban az egyes alkalmazások külön-külön történő frissítésével lehet orvosolni. "A megoldáshoz minden fejlesztőnek patch-eket kell készítenie. A hiba ugyanis inkább az alkalmazásokat érinti, mint a Windows-t. Elképzelhető, hogy a Microsoft az operációs rendszer szintjén is tudja majd kezelni a problémát, de ez valószínűleg kompatibilitási gondokat fog felvetni a jelenlegi szoftverekkel" - mondta Moore. A szakértő hozzátette, hogy amennyiben van rá lehetőség, akkor a 139-es és a 445-ös TCP portok blokkolásával valamint a WebDAV-kliens letiltásával csökkenthetők a kockázatok.
Az operációs rendszer szintjén megvalósuló hibajavítás kapcsán Kolsek sokkal optimistább. "Biztos vagyok abban, hogy a Microsoft megtalálja a megfelelő megoldást, amely a legtöbb esetben működőképes lesz. Azonban a cégnek nagyon gyorsan kell valamit tennie." - vélekedett Kolsek. Majd hozzátette, hogy az is egy lehetséges megoldást jelenthet, ha a Microsoft fejlesztőknek szóló patch-csel rukkol elő, mint ahogy azt két évvel ezelőtt az ATL (Active Template Library) sérülékenység kapcsán is tette.
A Microsoft jelenleg még tanulmányozza a sebezhetőséget, és addig nem kíván részletekbe bocsátkozni, amíg a vizsgálatok le nem zárulnak. "Mihelyt befejeztük a vizsgálódást, azonnal megtesszük azokat a szükséges lépéseket, amelyek a felhasználók és az internetes környezetek védelmét szolgálják" - mondta szűkszavúan a cég szóvivője.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.