Kod ataku systemu Windows, ale nie jest używany

Minął tydzień od czasu, gdy hakerzy udostępnili oprogramowanie, które może zostać wykorzystane do ataku na lukę w systemach Windows Vista i Server 2008, ale firmy Microsoft i firmy zajmujące się bezpieczeństwem twierdzą, że przestępcy nie zrobili zbyt wiele z atakiem.

Późny poniedziałek, Microsoft powiedział, że nie widział żadnych ataków wykorzystujących lukę w zabezpieczeniach, co powtórzyły firmy zajmujące się bezpieczeństwem, takie jak SecureWorks, Symantec i Veritign's iDefense.

Podczas gdy przestępcy skakali na podobnych błędach rok temu, używając ich w szerokim spektrum ataki, które ostatecznie zmusiły Microsoft do wypuszczenia łaty bezpieczeństwa przed jej comiesięcznym zestawem aktualizacji zabezpieczeń, co nie miało miejsca w przypadku najnowszego błędu, który leży w oprogramowaniu SMB v2 używanym przez Vista i Server 2008 do obsługi plików i drukarek udostępnianie.

[Więcej informacji: Jak t o usunąć złośliwe oprogramowanie z komputera z Windows]

Badacz SecureWorks Bow Sineath powiedział we wtorek, że istnieje kilka powodów, dla których ten ostatni atak nie został wykryty. Być może głównym powodem jest to, że kod Metasploit nie działa tak niezawodnie jak atak MS08-067 z zeszłego roku i często powoduje, że komputer po prostu zawiesza się, zamiast uruchamiać oprogramowanie hakera.

SMB v2 jest zwykle blokowany na firewallu, i nie jest dostarczany z Windows XP, co oznacza, że ​​atak Metasploit nie będzie działał na większości komputerów. Vista, jedyny klient Windows, który jest podatny na atak, jest używany na około 19 procent komputerów, które surfują po Internecie, według firmy analitycznej Web Net Applications. Windows XP działa na 72 procentach komputerów.

Z powodu wszystkich tych czynników, usterka SMB v2 po prostu nie jest "tak popularna dla celu", powiedział Sineath.

W ubiegłym tygodniu Dave Aitel, CEO bezpieczeństwa dostawca narzędzi Immunity, przewidywał, że Microsoft nie będzie musiał łatać błędu przed zaplanowaną datą łatki z października 13 października.

Atak Metasploit zakłada pewne założenia dotyczące pamięci komputera, które pozwalają mu działać w pewnych konfiguracjach sprzętowych, ale w w wielu sytuacjach po prostu nie działa, powiedział Aitel.

"Poprosiłem zespół ds. odporności, aby rzucił okiem na nowy exploit, aby ocenić, czy Microsoft załatwi błąd SMB v2 wcześniej, a nasza wstępna ocena to" Nie, nie będą "- pisał na liście dyskusyjnej w zeszły wtorek. "Obejście tego problemu w obecnym publicznym exploitie to prawdopodobnie dwa tygodnie pracy - w tym momencie zbliżamy się do wtorkowej wtorek Microsoftu, a zapotrzebowanie na łatę pozapasmową jest dyskusyjne."

Zespół Metasploit nadal jednak pracuje nad jego atakiem. W niedzielę Metasploit opublikował szczegóły nowego sposobu wykorzystania błędu i powiedział, że pracuje nad modułem wykorzystującym tę tak zwaną technikę trampolinową.

Jeśli metoda trampolinowa działa i czyni atak Metasploit bardziej niezawodnym, przestępcy prawdopodobnie zaczną go używać, powiedział SecureWorks.