Szerző: Gálffy Csaba

2012. március 20. 13:53

Kiszivárgott kóddal támadják a Windows Remote Desktopot

A Microsoft beismerte, hogy saját biztonsági partnerhálózatuk, a MAPP egyik tagja szivárogtatta ki a súlyos biztonsági hibát kihasználó kódot. A frissítés múlt hét óta letölthető, a telepítést sürgeti a szoftvercég.

A Microsoft saját biztonsági műhelyéből származik az a kód, amellyel kiaknázható a Windowsok  rendkívül fontos (MS12-020) biztonsági rése. A Remote Desktop szolgáltatásban található rést a márciusi menetrendszerű patch kedd keretében foltozta már a Microsoft, a kiszolgálókon üzemelő Windows Server frissítési ciklusa azonban hagyományosan hosszabb, a szoftvercég ezért arra kéri az üzemeltetőket, hogy a frissítést minél hamarabb telepítsék rendszereikre. Emellett szól az is, hogy ismert problémák a telepítéssel kapcsolatban nincsenek, egyelőre egyedül a javítás Windows 7-ről való eltávolítás eredményez hibás működést.

A hiba kiaknázására írt PoC (proof of concept) kódrészlet valóban kiszivárgott - ismerte be a Microsoft Security Response Center posztjában a szoftvercég. A kódot a Microsoft juttatta el a MAPP (Microsoft Active Protections Program) résztvevő partnereinek tanulmányozásra, valamelyiküktől azonban kiszivárgott és néhány nap alatt vadon élő támadó kód is született belőle. A kód eredetileg kínai hackerfórumokon került nyilvánosságra, a szakértők gyanúja szerint a MAPP valamely gyengébb reputációval rendelkező kínai partnercégétől. A kiszivárgás után a Microsoft feltehetően felülvizsgálja majd a MAPP-tagsághoz szükséges feltételeket, és szűrni fogja majd a különösen kritikus támadó kódokhoz hozzáférő partnereket.

A támadó csomagokat eredetileg létrehozó Luigi Auriemma később bejelentette, hogy a kikerült kód az ő munkájára épül - a támadást 2011 májusában juttatta el a Zero Day Initiative-nek. A biztonsági hálózat fizet a beküldött, friss biztonsági résekért, amelyet a rendszert üzemeltető HP a TippingPoint nevű behatolásérzékelő megoldásaiban használ fel, illetve továbbít az érintett szoftvergyártóknak. A Zero Day Initiative Twitteren már bejelentette, hogy már tudomása van a kiszivárogtató kilétéről, és az nem a ZDI partnerei közé tartozik.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Az MS12-020 kódú javítás két fontos sérülékenységet javít a Remote Desktop Protocolban. A súlyosabbik távoli kódfuttatást tesz lehetővé, ehhez a támadónak speciálisan kialakított RDP-csomagokkal kell bombáznia a célgépet. A másik sérülékenység szolgáltatásmegtagadásos támadást tesz lehetővé. Ugyan a Remote Desktop szolgáltatás alapértelmezetten ki van kapcsolva a Microsoft operációs rendszereiben, vállalati környezetben általános a szolgáltatás használata, ennek megfelelően a javítás kritikus besorolást kapott az összes támogatott Windows rendszeren.

A HUP fórumán egyes rendszergazdák arról számoltak be, hogy a telepítés után egyes kiszolgálókon leállt az RDP szolgáltatás, mások azonban nem tapasztaltak problémákat. A visszajelzések alapján azonban az is elképzelhető, hogy a frissítés hiánya súlyosabb probléma, a web felé néző szervereket már rendszeres időközönként támadják, a foltozatlan RDP bekapcsolása nyomán pedig hamarosan indul egy szolgáltatásmegtagadásos támadás.

a címlapról

VISION

0

Olcsóbb Vision Pro-ra fekszik rá az Apple

2024. június 19. 13:00

A második generációs eszköz fejlesztése helyett egy alacsonyabb árkategóriára lövő hardverre összpontosít az almás cég, ami 2025-ben jelenhet meg.