Szerző: Gálffy Csaba

2017. október 18. 09:43

Ellopták a Microsoft saját sebezhetőség-adatbázisát

Még 2013-ban szerezték meg a legsúlyosabb hibák listáját, de a cég nem hozta nyilvánosságra.

Soha nem hozta nyilvánosságra a Microsoft, hogy 2013-ban támadóknak sikerült a belsős hibakövető rendszert feltörni és az abban tárolt, sebezhetőségeket és egyéb hibákat tartalmazó adatbázist lemásolni. A több, mint négy éve történt rendkívül súlyos adatlopásról azonban a szoftverház sem az ügyfeleket, sem a nagyközönséget nem tájékoztatta - tudta meg a Reuters öt, a támadás részleteit ismerő volt Microsoft-alkalmazottól.

A riport szerint a kikerült adatbázis a szoftverfejlesztő cégeknél általánosnak számító hibakövető rendszerhez tartozott. Ebben gyűjtik a fejlesztők a változatos javítandó hibákat, többek között a súlyos és kevésbé súlyos biztonsági réseket is. Az adatbázisban többek között a Windows operációs rendszer már felismert, de még nem javított sebezhetőségei is szerepeltek.

Egy ilyen adatbázisból igazi kiberháborús arzenál építhető - ha az NSA korábban feltört gyűjteményét kiberfegyver-raktárként jellemeztük, a Microsoft adatbázisa inkább a nyersanyagokat tartalmazta, amiből különösen pusztító fegyvereket építhetnek a támadók. A Microsoft az adatlopást követően igyekezett felderíteni, hogy a kikerült hibák visszaköszönnek-e a "vadonban". A források szerint azonban nem sikerült visszakövetni az élesben előforduló támadásokat az ellopott hibákhoz, azokat vélhetően nem használták további rendszerek feltöréséhez. A vizsgálattal kapcsolatban viszont megosztottak a Reuters forrásai: ketten állítják, hogy a konklúzió helyes, hárman viszont úgy gondolták, hogy a cég túl kevés adatot gyűjtött.

A támadást követően mindenesetre a Microsoft sokat szigorított. A hibakövetőt leválasztotta a vállalati hálózatról és a hozzáférést további bejelentkezési faktorokhoz kötötte.

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Az új információk különösen kényelmetlen pozícióba helyezik a céget. Korábban a Microsoft ugyanis nagyon erősen kritizálta az amerikai nemzetbiztonsági ügynökséget (NSA), amiért a szervezet gyűjtötte a kihasználható szoftveres hibákat - de nem jelentette azok létét a fejlesztőcégek felé. Így amikor a hibagyűjteményt sikerült lemásolni, rengeteg felhasználó és vállalat került veszélybe - a WannaCry gyors terjedését például egy, az NSA-től kikerült hiba tette lehetővé. A Microsoft most ott hibázott, hogy ügyfeleit és partnereit nem tájékoztatta erről a betörésről, ezzel komoly veszélybe sodorva őket.

Van egyébként precedens hasonló adatlopásra: 2015-ben a Mozilla hibakövető rendszeréhez fértek hozzá idegenek, amelyben a Firefox böngésző javítatlan sebezhetőségeit tárolták a fejlesztők. A hibák később támadásokban is visszaköszöntek. A Mozilla akkor azonnal nyilvánosságra hozta a betörés tényét és aktívan dolgozott a probléma elhárításán.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról