Parancsikonokkal támadható a Windows

Korántsem szokatlan eset, amikor a Microsoft egy hibajavító kedd után néhány nappal új biztonsági tájékoztatót ad ki a Windowsban vagy valamely alkalmazásában feltárt hiba miatt. Ennek sokszor az az oka, hogy a hekkerek pontosan tudják, hogy - általában - havonta egyszer jelennek meg Microsoft hibajavítások, így ha egy sebezhetőség a hibajavító kedd környékén kerül publikálásra, akkor a patch megjelenéséig sok idő marad a sérülékenység kihasználására.

A Microsoft a múlt kedden négy biztonsági közleményt adott ki, amelyekben a Windows és az Office sérülékenységeiről számolt be. Pénteken azonban már egy olyan tájékoztatót tett közzé, amely szerint a Windows egy újabb, nulladik napi sebezhetőséget rejt. A cég szerint a biztonsági rés speciálisan szerkesztett parancsikonok révén válhat kihasználhatóvá, és jogosulatlan távoli kódfuttatást segíthet elő. A hiba a Windows Shell azon rendellenes működésére vezethető vissza, amely miatt az lnk kiterjesztésű állományok, illetve az azokhoz tartozó paraméterek nem minden esetben kerülnek megfelelő módon ellenőrzésre. A sérülékenység cserélhető meghajtókon, illetve hálózati valamint WebDAV megosztásokon keresztül is kihasználható. A hiba abban az esetben is veszélyt rejt, ha az adott rendszeren az automatikus indítási (Autorun) funkció nem engedélyezett.

Dave Forstrom, a Microsoft Trustworthy Computing csoportjának igazgatója szerint egy Stuxnet nevű számítógépes kártevő már elkezdte a hiba kihasználását. A trójai célja, hogy távoli szerverekről különféle rosszindulatú programokat töltsön le, amelyek között egy rootkit is megtalálható. Ez utóbbi a Windows Vista, illetve a Windows 7 UAC (User Account Control) védelmének kijátszására is alkalmas.  Forstrom szerint korlátozott és célzott támadásról van szó. Ennek ellenére a Microsoft biztonsági központjában csak július 15-én hatezer olyan támadási kísérletet észleltek, amelyek a Windows újonnan bejelentett sebezhetőségét is igyekeztek kihasználni. Időközben pedig a többi antivírus cég is beszámolt a sebezhetőség kihasználására alkalmas kártékony programok megjelenéséről.

Sebezhető marad a Windows XP SP2

A vizsgálatok kiderítették, hogy a parancsikonok nem megfelelő kezelésére visszavezethető sérülékenység a Windows XP SP2 operációs rendszerben is megtalálható. Ez azért lényeges, mert a Microsoft ezentúl már csak a Windows XP SP3-hoz fog kiadni javításokat, így egy újabb érv szól az SP2 frissítése mellett. Azt azonban egyelőre nem lehet tudni, hogy a szükséges patch-ek mikor lesznek elérhetők. Az is elképzelhető, hogy csak a következő, augusztus 10-én esedékes hibajavító kedden válnak majd letölthetővé. Annyi viszont biztos, hogy a Windows XP mellett a Windows Vista, a Windows 7, a Windows Server 2003 és a Windows Server 2008 is frissítésre fog szorulni. Sőt a biztonsági rés a béta állapotú Windows 7 SP1 valamint a Windows Server 2008 R2 SP1 esetében is kimutatható. A Microsoft a hibajavítások elérhetővé tételéig a parancsikonok - regisztrációs adatbázis révén - korlátozott használatát, valamint a WebClient szolgáltatás letiltását javasolta.

Siemens problémák

Időközben bebizonyosodott, hogy a Siemens egyes, ipari környezetekben alkalmazott megoldásai is ki vannak téve a Windows legújabb sérülékenységének. Michael Krampe, a cég szóvivője elmondta, hogy július 14-én értesültek először a problémáról, és azonnal egy szakértő csoport kezdett foglalkozni a kockázatok csökkentésével. A vizsgálatok során kiderült, hogy egy olyan kártékony program okozza a gondokat, amely egyrészt kihasználja a Windows parancsikonokkal kapcsolatos sérülékenységét, másrészt megpróbál bizalmas adatokat kiszivárogtatni a SCADA (Supervisory Control And Data Acquisition) rendszerekből. A vírus a Simatic WinCC szoftvert veszi célba. Noha a SCADA rendszerek általában nem csatlakoznak az internethez, a fertőzés USB-s adathordozókon keresztül is bekövetkezhet. A Siemens ezért óvatosságra intett, és a vírusvédelmi szoftverek naprakészen tartásának fontosságára hívta fel a figyelmet.

További technikai információk az Isidor Biztonsági Központ weboldalain olvashatók.