18 éve létező súlyos hibát találtak a Windowsban

1997-ben Aaron Spangler felfedezett egy hibát az Internet Explorerben, ami lehetővé tette, hogy egy támadó ellopja a felhasználói adatainkat, kihasználva a Windows Server Message Block (SMB) protokoll egy hibáját. 18 évvel később a Cylance Spear kutatói, akik ismerték ezt a hibát, egy üzenetküldő alkalmazást teszteltek, amikor rájöttek, hogy sokkal nagyobb a baj, mint hitték. Egy olyan komoly sebezhetőséget fedeztek fel, ami legalább 31 szoftvert érint. (Ezeket lásd a cikk végén).

Az új sebezhetőség, az SMB átirányítás miatt a felhasználók adatait több windowsos alkalmazáson keresztül meg lehet szerezni, ha a támadó megtéveszti a szoftvert azzal, hogy elhiteti vele, valóban a hivatalos szerverrel kommunikál. Miután átirányítja az adatforgalmat egy másik szerverre, megszerezheti a felhasználó felhasználói nevét és a titkosított jelszavát is. Ha a támadó visszafejti a jelszó titkosítását, hozzáférhet a személyes adatainkhoz és a sebezhető alkalmazásainkhoz is.

A Cylance szerint a most felfedezett hiba úgynevezett “örök időktől fogva létező” sebezhetőség, mert az eredeti hiba az 1997-es felfedezése óta közismert volt, és állandó fenyegetést jelentett. Ezúttal viszont nagyobb a veszély. Míg a Spangler által felfedezett hiba csak az Internet Explorert érintette, az SMB átirányítás már az összes Windows-verzión futó szoftvereket érinti.

Mit jelent ez a gyakorlatban? Képzeljük el, hogy fellépünk egy internetkávézó publikus wifihálózatára a laptopunkkal. Meghallgatunk az iTunes-on egy számot, vagy a Symantec Norton víruskeresője felnéz a szerverre egy frissítésért, és máris bárki beléphet a gépünkre, aki egy úgynevezett beékelödéses támadással (man-in-the-middle attack) hozzáfér a hálózati adatforgalomhoz.

A Cylane vezető kutatója megemlítette, hogy miután felfedezték az SMB átirányítást, értesítették a Carnegie Mellon Egyetem tanszékét, akikkel közösen javították a hibát az általuk ismert szoftverekben. A sérülékenységet csak akkor fedték fel, amikor a javítás már elkészült. Cylane vezetője, nem tartja kizártnak, hogy a sérülékenység más szoftvereket is érint, de reméli, hogy az adatbiztonsággal foglalkozó közösség megtalálja ezeket.

A Microsoft még nem reagált a sebezhetőségre, javítás egyelőre nincs. A Cylance jelenleg workaround-ot javasol a problémára.

Az érintett szoftverek listája:

  • Adobe Reader
  • Apple QuickTime
  • Apple Software Update (ez intézi az iTunes frissítéseit)
  • Internet Explorer
  • Windows Media Player
  • Excel 2010
  • Symantec’s Norton Security Scan
  • AVG Free
  • BitDefender Free
  • Comodo Antivirus
  • .NET Reflector
  • Maltego CE
  • Box Sync
  • TeamViewer
  • Github for Windows
  • PyCharm
  • IntelliJ IDEA
  • PHP Storm
  • JDK 8u31’ telepítője.

Linkek: