Kínából szivárgott ki egy Windows-rést törő kód
Kirúgta a Microsoft Active Protections Programból egyik partnerért a redmondi szoftverház, miután bizonyítva látta, hogy a DPTech nevű kínai biztonsági cég kiszivárogtatott egy kritikus PoC (proof of concept) kódot. Ennek birtokában ugyanis kihasználhatóvá vált egy (akkor még) foltozatlan rés.
Bizonyítottnak látja a Microsoft, hogy a DPTech nevű kínai partnere szivárogtatta ki a kritikus fontosságú kódrészletet, így azonnali hatállyal kirúgta a céget a MAPP (Microsoft Active Protections Program) információcserélő hálózatából. "A vizsgálat során kiderült, hogy a MAPP egyik tagja, a Hangzhou DPTech Technologies Co., Ltd. megszegte a titoktartási egyezményt (NDA)" - közölte a Microsoft blogján Yunsun Wee, a szoftverház Trustworthy Computing csoportjának igazgatója. "A Microsoft rendkívül szigorúan veszi az NDA megsértését, a partnert ennek megfelelően eltávolítottuk a programból" - áll a közleményben.
A botrány egyébként március közepén pattant ki, amikor Luigi Auriemma olasz biztonsági szakértő felhívta a figyelmet a neten keringő exploitra. Auriemma szerint az akkor foltozatlan biztonsági rést kiaknázó kód nagyrészt az ő munkája, amit a Zero Day Initiative rendszerén keresztül jelentett 2011 májusában. A kódot a ZDI jelentette tovább a Microsoft által üzemeltett MAPP hálózat tagjainak. A Windows Remote Desktop távoli kódfuttatást lehetővé tevő hibáját a Microsoft egyébként márciusban foltozta, a javítás akkor kritikus besorolást kapott.
Miért kritikus a Patch & Asset Management a kibervédelemben? (x) Az adatszivárgások jelentős része megakadályozható lenne, ha a szervezetek időben telepítenék a szoftverfrissítéseket.
A DPTech székhelye a Kína keleti partján található Hangcsouban van, a cég változatos hálózati biztonsági termékeket gyárt, UTM (unified threat management) és IPS rendszereket, alkalmazástűzfalakat és sebezhetőségszkennereket. A szakértők szerint legalábbis meglepő, hogy a Microsoft megnevezte a hibázó partnert, korábban arra számítottak, hogy a bűnöst névtelenül zárja ki a rendszerből a szoftvercég. A DPTech nevesítésével azonban úgy tűnik, példát kívánt statuálni a Microsoft, a precedens nyomán várhatóan a partnerek jobban odafigyelnek a belső szabályozásra és a szivárgások elkerülésére.
A blogbejegyzés szerint a biztonsággal kapcsolatos kritikus információk kezelését a Microsoft a jövőben meg fogja szigorítani, ez már a jövő heti, májusi patch kedden érvénybe lép. A redmondi cég egyébként jövő héten teszi közzé májusi biztonsági frissítéseit. Az előzetes értesítés szerint összesen hét javítás érkezik, amelyek közül három foltoz be kritikus, távoli kódfuttatásra lehetőséget adó sebezhetőséget. Az érintett szoftverek között megtalálható az összes támogatott Windows, XP-től a Server 2008 R2-ig, az összes támogatott Office-változat, beleértve az OS X-en futókat, valamint a Silverlight 4 is.
A blogposzt ugyanakkor nem részletezi a Microsoft lépéseit, ahogy azt sem, hogy a cég milyen bizonyítékok nyomán döntött a DPTech kizárása mellett.