:

Szerző: Bizó Dániel

2010. augusztus 2. 11:44

Soron kívüli javítás érkezik a Windows parancsikon-hibájára

Magyar idő szerint hétfő este hét körül a Microsoft soron kívüli frissítést ad ki arra a támadás alatt álló sebezhetőségre, amely a Windows operációs rendszerek grafikus felületét kezelő shell parancsikon-kezelésében található. A rést könnyű kihasználni, a támadások már elindultak, így a javítás azonnali telepítése javasolt.

A Microsoft biztonsági csapata közölte, hogy végzett a javítás szükséges tesztelésével, és így az elérte azt a minőségi szintet, amellyel alkalmassá vált a széleskörű nyilvános terjesztésre is. A vállalat egyúttal arra is felhívta a figyelmet, hogy az elmúlt napokban megnövekedett azon támadások száma, amelyek ezt a biztonsági rést igyekeznek kiaknázni, ezért döntött a vállalat úgy, hogy soron kívül, a jövő hétre esedékes patch kedd előtt kiadja a javítást. A Microsoft a frissítéssel kapcsolatban rendkívüli webcastet is tartani fog, magyar idő szerint este tízkor, amire itt kell regisztrálni.

A Microsoft kizárólag a technikai támogatásban lévő Windows rendszerek számára fogja kiadni a frissítést, így a Windows 2000, XP SP2 vagy Vista RTM (szervizcsomag nélküli) operációs rendszerek továbbra is támadhatóak maradnak, mivel már véget ért az életciklusuk. A migrálni vagy frissíteni nem tudó, vagy nem akaró felhasználók számára több megoldás is kínálkozhat, amelyek közül a gép funkcionalitását legkevésbé érintő a Sophos biztonsági cég által kiadott ingyenes eszköz, a Windows Shortcut Exploit Protection Tool. Az alternatív megoldások közé tartozhat az USB-portok és hálózati fájlmegosztások letiltása is, drákói estben pedig a parancsikonok megjelenítésének teljes kikapcsolása. Utóbbihoz leírást a sérülékenységet taglaló biztonsági figyelmeztetés nyújt.

A nemzetközi sajtóban LNK (a parancsikonok kiterjesztése) sebezhetőségként ismertté vált rést a Microsoft közlése szerint az okozza, a shell nem ellenőrzi megfelelően a parancsikon paramétereit, így az olyan műveleteket végeztethet a rendszerben, amely indokolatlan és illegitim. Ezen mulasztás kiaknázásával a támadó úgy hívhat meg külső állományokban tárolt támadó kódot, hogy a parancsikon el sem kellett indítani, elegendő mindössze az, hogy valamelyik Windows-alkalmazás kirajzolja annak ikonját - elég, ha a preparált USB-kulcs tartalmára ránéz a felhasználó, nem szükséges futtatnia az ott talált állományokat, a User Access Control mechanizmus sem avatkozik be.

Az első támadások közt található egy célzottan Siemens ipari irányítószoftvereket (SCADA) célzó trójai, a Stuxnet, amely kizárólag akkor aktiválódik, ha valamilyen SIMATIC szoftvert talál a gépen. A Siemens szerint egy német gyártóvállalat már áldozatul esett a támadásnak, ugyanakkor nincs tudomásuk arról, hogy ipari titkokat tudott volna kijuttatni onnan, így anyagi kárról egyelőre nincs szó. A Daimler a német sajtó számára közölte, hogy a hibára kihasználva hálózatán felbukkant a magát rejtegető, weboldalakat megnyitó, viszonylag ártalmatlan Changeup féreg, így néhány fájlszervert átmenetileg le kellett állítani.

A Microsoft adatai szerint az ipari rendszerek után kutató Stuxnet elsősorban ázsiai országokban bukkant fel, Iránban és Indonéziában, valamint kisebb részben Indiában. Azóta más kórokozók is felbukkantak, amelyek az LNK sebezhetőséget kihasználva terjednek, mint például a keylogger Chymine. Biztonsági szakemberek szerint a hiba jól dokumentált, és hackerek számára pofonegyszerű a kihasználása, így a jelentkező támadási variációk ugrásszerű növekedése várható, különösen a maguk után takarító rootkitek formájában.

a címlapról