Pre kritickú chybu vo Windows úspešný exploit, je oficiálne vhodná pre červy

DSL.sk, 18.9.2009

Pre novú kritickú zatiaľ neopravenú chybu v implemetácii SMB 2.0 protokolu vo Windows Vista a Windows Server 2008 sa bezpečnostným expertom zo spoločnosti Immunity podarilo vytvoriť funkčný exploit umožňujúci získať kontrolu nad vzdialeným počítačom.

Spoločnosť o tom informovala vo štvrtok, spolu so zverejnením videa získania kontroly nad vzdialenými Windows.

Závažnosť a typ chyby sú tak úplne identické ako v prípade chyby, ktorú využíval červ Conficker a bola opravená aktualizáciou MS08-067. Jediným rozdielom je skutočnosť, že nová chyba je účinná proti Windows Vista, Windows 7 RC a Windows Server 2008 ale nie proti Windows XP.

U chyby opravenej aktualizáciou MS08-067 sa pôvodne predpokladalo, že vzhľadom na súčasné vysoké percento užívateľov za NAT-om a/alebo firewallmi nebude použiteľná na vytvorenie veľkého botnetu. Autorom červa Conficker sa ale podarilo vytvoriť botnet s odhadovanými viacerými miliónmi infikovaných PC.

Chyba sa nachádza v implementácii protokolu SMB 2.0 používaného pre sieťové zdieľanie adresárov a je spôsobená nedostatočným ošetrením niektorých položiek v niektorých typoch prichádzajúcich paketov.

K zneužitiu chyby stačí, aby na cieľovom počítači bolo aktívne sieťové zdieľanie súborov a cez sieť alebo dokonca Internet otvorený a prístupný port 445 alebo 139. K zneužitiu chyby nie je potrebná žiadna súčinnosť užívateľa, po jej zneužití získa útočník možnosť spúšťať na napadnutom počítači ľubovoľný kód s administrátorskými právami a tak úplnú kontrolu nad PC.

Spoločnosť Microsoft odporúča pre ochranu proti zneužitiu novej chyby do vydania aktualizácie vypnutie podpory novej verzie SMB 2.0, ktoré ponechá funkčné zdieľanie súborov pomocou prvej generácie protokolu, a/alebo blokovanie paketov prichádzajúcich na TCP porty 139 a 445. Postup pre vypnutie SMB 2.0 je možné nájsť na stránkach Microsoftu.

Informácie o chybe zverejnil jej objaviteľ 7. septembra bez synchronizácie s Microsoftom. Z informácií spoločnosti Microsoft vyplýva, že spoločnosť bola o chybe informovaná po vydaní RC verzie Windows 7, 5. mája, a pred dokončením finálnej verzie Windows 7, 13. júla, preto sa chyba už nenachádza vo finálnej verzii Windows 7.




Najnovšie články:



Diskusia:

holka mal furt BSOD Od reg.: supersonic | Pridané: 18.9.2009 14:10 cez crashdump som sa dobracoval ktomu, ze chyba nastala v SMB 2.0, tak som ho vypol (zalozte pod "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet \Services\ LanmanServer\Parameters" kluc (DWORD) s menom SMB2 a nastavte mu hodnotu 0)... ktovie ci to nejak suvisi stymto clankom, imho aj mozno hej, nakolko je pripojena na akademicku siet UK, kde je kadekdo Odpovedať Známka: 7.5 Hodnotiť:

Re: holka mal furt BSOD Od reg.: Eagle | Pridané: 18.9.2009 15:15 "Informácie o chybe zverejnil jej objaviteľ 7. septembra bez synchronizácie s Microsoftom. Z informácií spoločnosti Microsoft vyplýva, že spoločnosť bola o chybe informovaná po vydaní RC verzie Windows 7, 5. mája..." A možno Microsoft mohol byť fér k svojim zákazníkom a upozorniť na hrozbu, ak o tom už vedeli od mája. Odpovedať Známka: 8.3 Hodnotiť:

Re: holka mal furt BSOD Od: Ja. | Pridané: 18.9.2009 15:27 Microsoft počká, či to utíchne, ak nie, až potom zvykne konať Odpovedať Známka: 7.3 Hodnotiť:

Re: holka mal furt BSOD Od reg.: Milos K. | Pridané: 18.9.2009 22:55 aj kku mne sa dostali zle pakety a sposobovalo mi to BSOD a kamaratovi zamrzavalo system.. vdaka navodu http://www.microsoft.com/technet/ security/advisory/975497.mspx ktory som nasiel pred 2mi dnami je vsetko ok. Odpovedať Známka: 6.0 Hodnotiť:

za penize v praze dum. Od: _xxx | Pridané: 18.9.2009 14:14 najkrajsie je ze tento exploit predavaju, cize kazdy kto ma dost penazi a vyuzitie pre "zopar" zombie pocitacov sa moze vysantit. Odpovedať Známka: 8.5 Hodnotiť:

dsfgafads Od: Kveri_ | Pridané: 18.9.2009 14:20 zasa... uz je to trapne :/ Odpovedať Známka: 8.3 Hodnotiť:

Re: dsfgafads Od reg.: ujo Ivo | Pridané: 18.9.2009 14:35 Tato chyba tu uz raz bola spomenuta, ak sa nemylim. Som zvedavy, ci MS zaplata aj RC W7 :) Odpovedať Známka: 6.4 Hodnotiť:

Re: dsfgafads Od: Gringo | Pridané: 18.9.2009 15:14 Tak tak, MS demence :D Odpovedať Známka: 3.3 Hodnotiť:

windows RC7 Od: windows RC7 | Pridané: 18.9.2009 15:49 naco prosim Ta by platal RC?, kup si original a ten Ti zaplata ak bude treba... Odpovedať Známka: 5.6 Hodnotiť:

Re: windows RC7 Od: Re: windows RC7 | Pridané: 18.9.2009 16:46 ked zaplatis original, mas to zaplatane :D Odpovedať Známka: 7.8 Hodnotiť:

Re: windows RC7 Od reg.: ujo Ivo | Pridané: 18.9.2009 17:43 Mam original, zaplata na RC ma zaujima z ineho dovodu. Odpovedať Známka: 5.0 Hodnotiť:

Re: windows RC7 Od: Kveri_ | Pridané: 18.9.2009 18:43 o jakom RC tu kecate? 7600 je final build nie RC! Odpovedať Známka: -5.6 Hodnotiť:

Re: windows RC7 Od reg.: K-NinetyNine | Pridané: 19.9.2009 0:42 a kto tu spomina 7600? Odpovedať Známka: 10.0 Hodnotiť:

Re: windows RC7 Od: bozzzzzzzzzzzzzzzzzz | Pridané: 19.9.2009 9:44 opera je najsamlepša! Odpovedať Známka: -4.4 Hodnotiť:

To nevadí Od: deks | Pridané: 18.9.2009 16:18 Hlavne, že je bezpečnejší ako OS X. :) Odpovedať Známka: 4.4 Hodnotiť:

Re: To nevadí Od: 0dee | Pridané: 18.9.2009 17:52 presne to som sem chcel napisat :) Odpovedať Známka: -3.3 Hodnotiť:

zaujimave :) Od reg.: XAPOH | Pridané: 18.9.2009 16:23 "Jediným rozdielom je skutočnosť, že nová chyba je účinná proti Windows Vista, Windows 7 RC a Windows Server 2008 ale nie proti Windows XP." o co sa stavime ze fakt ze XP su v tomto pripade rovnako ochranene ako W7 sa v oficialnych spravach od MS dozveime len minimalne? :) Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od reg.: cinko | Pridané: 18.9.2009 16:35 hmm niesom windowsak takze tieto veci nesledujem ale ma vobec XP podporu pre SMB2? lebo ta specifikacia je relativne nova (google vravi 2006) takze je otazka ci ju tam este implementovali Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od: patto | Pridané: 18.9.2009 16:42 a čo si ? Odpovedať Známka: -4.5 Hodnotiť:

Re: zaujimave :) Od reg.: cinko | Pridané: 18.9.2009 16:48 to nieje podstatne vzhladom na fakt ze nemam v piatok vecer chut na flame ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od: 0dee | Pridané: 18.9.2009 17:53 mozno je v XP az od SP3 Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od: WirusXP | Pridané: 18.9.2009 18:01 Ale ja mam :-) Odpovedať Známka: 6.0 Hodnotiť:

Re: zaujimave :) Od: Kveri_ | Pridané: 18.9.2009 18:46 ked som precital nadpis zamyslel som sa, ci aj samba na linuxe nebude tymto postihnuta :], ale nastastie nie Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od: quix_ | Pridané: 20.9.2009 21:18 pokial to nie je chyba v "navrhu" samotneho, s prepacenim, protokolu, nemoze byt samba postihnuta. pokial by nejakym sposobom samba team opajcol smb2 od ms(copy+paste) tak ano. Odpovedať Hodnotiť:

Re: zaujimave :) Od: ---- | Pridané: 19.9.2009 21:24 "Microsoft introduced a new version of the Server Message Block (SMB) protocol (SMB 2.0 or SMB2) with Windows Vista in 2006." [ Wikipedia: http://tr.im/z9uP ] Mas pravdu, avsak aj prva verzia SMB mala problemy s bezpecnostou, cize na XP pouzijes jeden exploit a na novu generaciu tento druhy :) Odpovedať Známka: 10.0 Hodnotiť:

Re: zaujimave :) Od: pa3k_ | Pridané: 19.10.2009 12:51 pozri blackhole, clanok: http://tinyurl.com/yzchrgt + komentáre Odpovedať Hodnotiť:

nadpis Od: Matooo11 | Pridané: 19.9.2009 12:42 Zase som musel ten nadpis 5x citat, aby som pochopil. Odpovedať Známka: 5.0 Hodnotiť:

Pridať komentár