Gigant z Redmond nie zdążył opublikować poprawki przed pojawieniem się w sieci exploita wykorzystującego odkrytą na początku września podatność. Tym razem pilnego załatania wymaga protokół SMB2 umożliwiający udostępnianie plików oraz drukarek. Nowo opublikowany exploit pozwala na zdalne wykonanie kodu w systemach Windows Vista i Windows Server 2008.
Szczegółowe informacje na temat luki w wersji 2.0 protokołu Server Message Block (SMB) jako pierwszy opublikował na swoim blogu Laurent Gaffié. Błąd występuje w module SRV2.SYS i dotyczy nieprawidłowego przetwarzania nagłówków dla funkcji NEGOTIATE PROTOCOL REQUEST.
Jak wynika z analizy, którą przeprowadził ceniony ekspert ds. bezpieczeństwa Rubén Santamarta, w najprostszym przypadku może to skutkować wyświetleniem osławionego Blue Screen of Death (system się zawiesi). Możliwe jest także zdalne uruchomienie kodu i przejęcie pełnej kontroli nad zaatakowanym komputerem.
Jak dowiódł Tyler Reguly z firmy nCircle Network Security, luka występuje w systemach Windows Vista i Windows Server 2008, zagrożona jest także wersja Release Candidate systemu Windows 7, która cieszy się już sporą popularnością na całym świecie. Użytkownicy starszych edycji - Windows 2000, Windows XP oraz Windows Server 2003 - mogą spać spokojnie. Nie obsługują one protokołu SMB2, nie są więc podatne na atak.
Gigant z Redmond potwierdził doniesienia ekspertów, publikując Microsoft Security Advisory zawierające opis kroków, które należy podjąć w celu zminimalizowania ryzyka. Koncern podkreślił, że finalna wersja systemu Windows 7 nie jest dotknięta zagrożeniem. Jako tymczasowe obejście problemu Microsoft zalecił blokowanie połączeń TCP przychodzących na porty 139 i 445 (może to niestety zakłócić pracę niektórych programów).
Innym rozwiązaniem problemu ma być wyłączenie obsługi SMB2, co można w tej chwili zrobić "jednym kliknięciem" po wejściu na stronę wsparcia technicznego - narzędzie Fix it wprowadzi wówczas odpowiednie zmiany do rejestru systemowego. Równie łatwo można anulować blokadę.
Warto nie zwlekać z zabezpieczeniem się, gdyż w sieci pojawił się już działający exploit wykorzystujący omawianą lukę. Kod, opublikowany m.in. na stronach narzędzia hakerskiego Metasploit, umożliwia zdalne zlokalizowanie systemu Windows podatnego na atak i wykonanie dowolnej akcji (od wyświetlenia komunikatu ostrzegawczego po konfigurację backdoora otwierającego drogę do systemu).
Specjaliści ds. bezpieczeństwa obawiają się, że udostępniony exploit może posłużyć do stworzenia automatycznie rozprzestrzeniającego się robaka, który będzie przypominał budzącego niedawno grozę Confickera - informuje securitystandard.pl. Dobrze byłoby więc, gdyby Microsoft załatał lukę podczas najbliższego Patch Day, który przypada na 13 października.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*