A Microsoft a múlt héten számolt be arról, hogy egy olyan biztonsági rést vizsgál, amely a Windows Súgó és Támogatás Központjának (Help and Support Center) esetében okozhat problémákat. Azóta kiderült, hogy a sérülékenység valóban létezik, és veszélyt jelent. A hiba kockázatát azonban már az is jelentősen fokozza, hogy kikerült az internetre az a kód, amelynek révén viszonylag könnyedén használható ki a sebezhetőség. A támadóknak nem kell mást tenniük, mint a felhasználót egy kártékony weboldalra vezetni, vagy speciálisan szerkesztett - akár e-mailben küldött - hivatkozásra való kattintásra rábírni. Ezt követően tetszőleges kódok jogosulatlan távoli futtatására is lehetőségük nyílhat.
Az első olyan weboldalt, amely képes kihasználni a sérülékenységet, a Sophos szakemberei fedezték fel. "Ez egy klasszikus támadási forma, amely akkor járul hozzá a PC-k megfertőzéséhez, ha a felhasználó egy ártalmas weblapot tekint meg." - vélekedett Graham Cluley, a Sophos biztonsági tanácsadója. A terjedőben lévő exploit kapcsán Andrew Storms, az nCircle Security igazgatója elmondta, hogy egyáltalán nem meglepő a Sophos felfedezése, hiszen az exploit január 10-én már bekerült többek között a Metasploitba is. Így nem is igazán lehetett arra számítani, hogy hosszú ideig hagyják a támadók kihasználatlanul a számukra igencsak értékes lehetőséget.
A sebezhetőség története
A Windows súgójával kapcsolatos sérülékenység története tartogat érdekességeket. A hibát Tavis Ormandy, a Google egyik mérnöke fedezte fel, majd jelezte a Microsoft számára. Mint később kiderült, Ormandy végül öt napot adott a Microsoftnak arra, hogy elkészítse a frissítést, mielőtt nyilvánosságra hozza a sérülékenység részleteit, illetve az annak kihasználásához szükséges proof-of-concept kódot. Amint lejárt az öt napos haladék, a mérnök - az ígéretéhez híven - publikálta a sebezhetőséggel kapcsolatos technikai részleteket. Graham Cluley erre csak annyit mondott, hogy ez egy teljesen felelőtlen cselekedett volt.
Ormandy közölte, hogy korábban egyeztetett a Microsofttal a patch kiadásáról, de állítólag a Microsoft nem erősítette meg számára, hogy a javítás 60 napon belül elkészül. (Vélhetőleg ezt vette rossz néven Ormandy.) A Microsoft egyébként megerősítette, hogy valóban beszélt a mérnökkel a frissítések ütemezéséről, de akkor még a hiba vizsgálatának kezdeti szakaszában tartottak, így nem tudtak biztos időpontot mondani a patch kiadására. "Öt nap nem elegendő ahhoz, hogy a Microsoft kifejlesszen egy javítást, és azt megfelelő módon le is tesztelje" - mondta Graham Cluley.
Kockázatcsökkentés
Azt ugyan továbbra sem lehet tudni, hogy a Microsoft mikor adja ki a hibajavítást, de addig is csökkenthetők a kockázatok. A Microsoft kezdetben a regisztrációs adatbázis manuális módosítását javasolta a problémát okozó HCP-protokollkezelő letiltásához. Azóta azonban a cég letölthetővé tett egy kis programot, amely a regisztrációs adatbázis módosítását segít elvégezni. A sérülékenység a Windows XP valamint a Windows Server 2003 operációs rendszerek esetében jelent kockázatot.
További technikai információk az Isidor Biztonsági Központ weboldalán olvashatók.
is lehetőségük nyílhat.
A cikk a Computerworld biztonság rovatában jelent meg.