Felületes volt a Windows javítás

A Microsoft a március 10-én kiadott biztonsági közleményei közül az MS09-008-as számúban négy olyan sebezhetőségről számolt be, amelyek a DNS valamint a WINS kiszolgálók esetében orvosolnak különféle biztonsági hibákat. A közleményhez kiadott frissítések a Windows 2000 Server és a Windows Server 2003/2008 operációs rendszerekkel is kompatibilisek.

A javítások megjelenését követően Tyler Reguly, az nCircle Network Security egyik biztonsági szakértője arra lett figyelmes, hogy a Microsoft által kiadott hibajavítások egyes esetekben nem hatásosak, ami a szakember szerint annak tudható be, hogy a cég jobbára csak "felületi kezelést" hajtott végre a problémával kapcsolatban. Vagyis nem szüntette meg teljes mértékben a sebezhetőséget, hanem "csak" csökkentette a kockázatokat. Viszont sokan, akik már telepítették a javításokat nem biztos, hogy tisztában vannak azzal, hogy a rendszerük még sérülékeny lehet.

A Microsoft frissítése a WPAD (Web Proxy Auto-discovery Protocol) valamint az ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) protokollok nem megfelelő kezelésére visszavezethető sebezhetőségeket szünteti meg. A WPAD az automatikus proxy beállításokat segíti a klienseken. Amikor az Internet Explorerben a proxy beállítások automatikus észlelése aktív, akkor a böngésző egy wpad.[company].[com] domaint próbál lekérdezni. Amennyiben egy támadó sikeresen módosítja ezt a bejegyzést, akkor egy kártékony proxy-ra irányíthatja át a böngészőket. Mindez "man-in-the-middle" támadásokhoz valamint bizalmas adatok illetéktelen kezekbe kerüléséhez vezethet.

Reguly szerint a Microsoft márciusi hibajavításaival az a baj, hogy azok nem jelentenek hatékony védelmet abban az esetben, ha WPAD bejegyzés korábban már használatban volt egy DNS-szerveren. Ekkor ugyanis ezek a címek nem kerülnek "tiltólistára", és továbbra is biztonsági kockázatot hordoznak. A szakember szerint az lenne az ideális, ha a frissítés egy hibaüzenetet jelenítene meg abban az esetben, ha nem képes teljes mértékben ellátni a feladatát.

A Microsoft a Reguly-féle észrevétel után a következőket nyilatkozta: "A WPAD egy általános vállalati funkcionalitás. A Microsoftnak elővigyázatosnak kell lennie, amikor ilyen frissítéseket ad ki annak érdekében, hogy biztosítsa a megfelelő védelmet az ügyfelei számára, ugyanakkor ne okozzon működésbeli problémákat." Maarten Van Horenbeeck, a Microsoft Security Response Center munkatársa elmondta, hogy "amikor egy DNS szerver már tartalmaz WPAD vagy ISATAP bejegyzéseket, akkor a frissítés nem fogja ezeket blokkolni. Erre azért van így szükség, mert sok felhasználó teljesen szabályszerűen használja ezt a funkcionalitást. Amennyiben mégis blokkolni kell e bejegyzéseket, akkor ezt a rendszergazdáknak manuálisan kell elvégezniük."

A Microsoft egy olyan tájékoztatót is kiadott, amelyből kiderül, hogy a DNS-szerverek frissítése milyen következményekkel, változtatásokkal járhat.

A hír a Computerworld.hu biztonság rovatában jelent meg.