Megint SMB-n keresztül támadható a Windows
Ismét sebezhetőséget találtak a Windowsban, amelyet SMB-n keresztül kihasználva rendszerösszeomlás idézhető el vagy távolról kód is futtatható. A Microsoft tud róla, vizsgálódik.
Újra foltozatlan sebezhetőséget találtak a Windowsban, amelyet kihasználva távolról tetszőleges kód futtatható. A biztonsági résről hétfőn lebbentette fel a fátylat egy magát csak Cupidon-3005 néven nevező hacker, aki a Full Disclosure levelezőlistán tette közzé kutatásának eredményeit.
A francia Vupen IT-biztonsági cég szerint kritikus sebezhetőségről van szó, amelyet már a MIcrosoft is vizsgál, de egyelőre nem tudni, milyen lépéseket tesz az ügyben, szükséges-e soron kívüli hibajavítás vagy elegendő a következő patch kedden kiadni a javítást. A redmondiak eddigi gyakorlatát figyelembe véve valószínűtlen, hogy a patch márciusban megérkezik, ha csak nem kezdik a sebezhetőséget világszerte tömegesen kihasználni.
A Secunia szerint a sebezhetőség csak közepesen veszélyes, a dán biztonsági cég figyelmeztetése alapján a kihasználásával rendszerösszeomlást lehet előidézni, de a távoli kódfuttatást csak lehetőségként és nem tényként említi a cég. A probléma a Windows mrxsmb.sys meghajtójával van, amelyben a BowserWriteErrorLogEntry() függvény hibája révén SMB protokollon keresztül támadhatók a gépek, távolról kód futtatható vagy túlterheléses támadással meg is béníthatók.
Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.
A Vupen szerint a hiba a Windows XP SP3 és Windows Server 2003 SP2 operációs rendszereket érinti, de a Secunia szerint más változatokban is jelen lehet a sebezhetőség. A dán biztonsági cég a kockázatok minimalizálása érdekében azt javasolja az adminoknak, a broadcast tartományon belül korlátozzák az SMB-hozzáférést a megbízható hosztokra. Megoldást jelent a 138-as, 139-es és 445-ös TCP- és UDP-portokon a forgalom tiltása vagy szűrése is.
Az SMB (Server Message Block) korábban is megtréfálta a Microsoftot, 2009-től kezdve közel fél éven át volt nyitott egy Windows-sebezhetőség, amelyet kihasználva hálózati csomagokkal, azonosítás nélkül lefagyaszthatóak voltak azok a gépek, amelyeken aktív volt a fájl- és nyomtatómegosztásért felelős szolgáltatás. A problémát 2009 szeptemberében dokumentálták, de csak 2010 áprilisában javította a Microsoft.