Kod ataku na krytyczne powierzchnie błędów Microsoft

Kilka godzin po tym, jak Microsoft opublikował szczegóły krytycznego błędu systemu Windows, pojawił się nowy kod ataku, który wykorzystuje lukę.

Twórcy narzędzia odpornościowego testowania bezpieczeństwa zajęli dwie godziny, aby napisać ich exploit, po tym, jak Microsoft wydał poprawkę do wydania w czwartek rano. Oprogramowanie opracowane przez Immunity jest dostępne tylko dla płacących klientów, co oznacza, że ​​nie każdy ma dostęp do nowego ataku, ale eksperci od bezpieczeństwa oczekują, że jakaś wersja tego kodu zacznie wkrótce pojawiać się publicznie.

Microsoft zrobił niezwykły krok wypuszczenia łaty awaryjnej na lukę w czwartek, dwa tygodnie po zauważeniu niewielkiej liczby ukierunkowanych ataków wykorzystujących błąd.

Luka nie została publicznie znana przed czwartkiem; Jednakże, wydając łatkę, Microsoft udostępnił hakerom i badaczom bezpieczeństwa wystarczającą ilość informacji do opracowania własnego kodu ataku.

Wada polega na usłudze Windows Server, używanej do łączenia różnych zasobów sieciowych, takich jak serwery plików i drukowania w sieci. Wysyłając złośliwe wiadomości na komputer z systemem Windows, który używa Windows Server, atakujący może przejąć kontrolę nad komputerem, powiedział Microsoft.

Najwyraźniej napisanie tego kodu nie wymaga dużego wysiłku.

jest bardzo przydatny "- powiedział Bas Alberts, inspektor ds. bezpieczeństwa. "Jest to kontrolowane przepełnienie stosu."

Błędy przepełnienia stosu powstają, gdy błąd programowania pozwala atakującemu napisać polecenie na częściach pamięci komputera, które normalnie są poza zakresem, a następnie spowodować, że polecenie będzie uruchamiane przez komputer ofiary.

Microsoft wydał miliony dolarów, próbując wyeliminować tego typu usterki ze swoich produktów w ostatnich latach. Jeden z architektów programu testowania bezpieczeństwa Microsoftu uczciwie ocenił sytuację w czwartek, mówiąc, że firmowe "fuzzingowe" narzędzia testujące powinny wcześniej wykryć problem. "Nasze testy fuzz nie złapały tego i powinny mieć" - napisał Michael Howard, kierownik ds. Programu bezpieczeństwa w poście na blogu. "Wracamy więc do naszych algorytmów fuzzingu i bibliotek, aby je odpowiednio zaktualizować." "Na co warto, ciągle aktualizujemy heurystykę i reguły testowania fuzzów, więc ten błąd nie jest unikalny."

Chociaż Microsoft ostrzegł, że ta wada może być użyty do zbudowania robaka komputerowego, Alberts powiedział, że jest mało prawdopodobne, aby taki robak, jeśli został stworzony, rozprzestrzeniłby się bardzo daleko. To dlatego, że większość sieci blokuje ten rodzaj ataku na firewallu.

"Widzę, że jest to problem w sieciach wewnętrznych, ale jest to bardzo prawdziwy i wykorzystujący błąd", powiedział.