:

Szerző: Bizó Dániel

2009. szeptember 29. 14:05

Veszélyes exploit jelent meg a Windows SMB-hibájára

Továbbfejlesztett támadó kód került nyilvánosságra a Windows szeptember elején felfedezett sebezhetősége kapcsán. A rést kiaknázó kód immár nem csak összeomlasztani tudja a Vista-generációt, de tetszőleges szoftvert is futtathat rajta. Teljes javítás egyelőre nincs.

Az SMB v2 protokoll implementációjában felfedezett sebezhetőség éppen a Microsoft szeptemberi patch keddjével egy időben kapott nyilvánosságot, így a vállalatnak esélye sem volt arra, hogy azt orvosolja. A rést kiaknázó kód működik, amit a HUP-on is megerősítettek, vagyis a 139-es és 445-ös porton fájl és nyomtatómegosztási szolgáltatással figyelő Vista, Server 2008 R1 és Windows 7 RC-k mind összeomlottak. Nem érintettek az XP, Server 2000, Server 2008 R2 és Windows 7 RTM platformok.

Most egy továbbfejlesztett kód látott napvilágot, mely nem csak kék halált vagy újraindulást képes elérni, hanem tetszőleges szoftver futtatását, vagyis távoli végrehajtás veszélyét hordozó sebezhetőséggé fajult. Az exploit hétfőn került ki a webre a nyílt forrású Metasploit penetrációs teszteszköz részeként. A kód működése nem tűnik megbízhatónak, a támadások egy része rendszerösszeomláshoz vezet, nem pedig saját kód futtatásához. Végeredményben azonban ez nem változtat azon, hogy a bűnözők most rendelkeznek egy olyan alappal, melyre építve automatizáltan terjedő férgeket alkothatnak, melyek villámgyorsan terjedhetnek LAN-okon belül, miután más módszerrel vagy megbízhatónak tartott felhasználóként bejutottak egy belső gépre.

A hiba a Windows operációs rendszerek a hálózati nyomtató- és fájlmegosztásokat kezelő Server Message Block v2 (SMB) protokoll implementációjában található, mely a Vista és az azt követő Windows kiadások számára továbbfejlesztett változat. Ebből fakad, hogy a korábbi Windowsok biztosan nem érintettek, ahogyan például a Samba sem. A sérülékenységet az okozza, hogy az érintett operációs rendszerek nem kezelik megfelelően az SMB v2 kapcsolatfelvételi kéréseket.

A Microsoft azt javasolja, hogy a felhasználók a végleges javítás érkezéséig kapcsolják ki az SMB v2 szolgáltatást, és/vagy tűzfal segítségével tiltsák le 139 és 445-ös számú portokat. Az SMB v2 kikapcsolása a regisztrációs adatbázis szerkesztésével vihető véghez, de a vállalat weboldalán most elérhetővé tett egy segédprogramot, amit lefuttatva kikapcsol az SMB v2. Ugyanitt megtalálható a szolgáltatást visszakapcsoló program is. Egyelőre nem tudni, hogy a következő patch keddig elkészül-e a javítás.

a címlapról