Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Veszélyes exploit jelent meg a Windows SMB-hibájára

Bizó Dániel, 2009. szeptember 29. 14:05
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Továbbfejlesztett támadó kód került nyilvánosságra a Windows szeptember elején felfedezett sebezhetősége kapcsán. A rést kiaknázó kód immár nem csak összeomlasztani tudja a Vista-generációt, de tetszőleges szoftvert is futtathat rajta. Teljes javítás egyelőre nincs.

hirdetés

Az SMB v2 protokoll implementációjában felfedezett sebezhetőség éppen a Microsoft szeptemberi patch keddjével egy időben kapott nyilvánosságot, így a vállalatnak esélye sem volt arra, hogy azt orvosolja. A rést kiaknázó kód működik, amit a HUP-on is megerősítettek, vagyis a 139-es és 445-ös porton fájl és nyomtatómegosztási szolgáltatással figyelő Vista, Server 2008 R1 és Windows 7 RC-k mind összeomlottak. Nem érintettek az XP, Server 2000, Server 2008 R2 és Windows 7 RTM platformok.

Most egy továbbfejlesztett kód látott napvilágot, mely nem csak kék halált vagy újraindulást képes elérni, hanem tetszőleges szoftver futtatását, vagyis távoli végrehajtás veszélyét hordozó sebezhetőséggé fajult. Az exploit hétfőn került ki a webre a nyílt forrású Metasploit penetrációs teszteszköz részeként. A kód működése nem tűnik megbízhatónak, a támadások egy része rendszerösszeomláshoz vezet, nem pedig saját kód futtatásához. Végeredményben azonban ez nem változtat azon, hogy a bűnözők most rendelkeznek egy olyan alappal, melyre építve automatizáltan terjedő férgeket alkothatnak, melyek villámgyorsan terjedhetnek LAN-okon belül, miután más módszerrel vagy megbízhatónak tartott felhasználóként bejutottak egy belső gépre.

A hiba a Windows operációs rendszerek a hálózati nyomtató- és fájlmegosztásokat kezelő Server Message Block v2 (SMB) protokoll implementációjában található, mely a Vista és az azt követő Windows kiadások számára továbbfejlesztett változat. Ebből fakad, hogy a korábbi Windowsok biztosan nem érintettek, ahogyan például a Samba sem. A sérülékenységet az okozza, hogy az érintett operációs rendszerek nem kezelik megfelelően az SMB v2 kapcsolatfelvételi kéréseket.

A Microsoft azt javasolja, hogy a felhasználók a végleges javítás érkezéséig kapcsolják ki az SMB v2 szolgáltatást, és/vagy tűzfal segítségével tiltsák le 139 és 445-ös számú portokat. Az SMB v2 kikapcsolása a regisztrációs adatbázis szerkesztésével vihető véghez, de a vállalat weboldalán most elérhetővé tett egy segédprogramot, amit lefuttatva kikapcsol az SMB v2. Ugyanitt megtalálható a szolgáltatást visszakapcsoló program is. Egyelőre nem tudni, hogy a következő patch keddig elkészül-e a javítás.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.