Az összes redmondi operációs rendszer érintett.

Minden, jelenleg támogatott Windows érintett abban a hibában, melyről részletesebben nemrég számolt be a US CERT. A memóriahiba kiaknázásával távolról lefagyaszthatóvá válnak az érintett operációs rendszereket futtató számítógépek.

Blue Screen of Death

A Windows nem képes megfelelően kezelni egy speciális feltétleknek megfelelően létrehozott, túl sok adatot tartalmazó szerverválaszt. Az SMB2 TREE_CONNECT Response struktúrában leírtakat be nem tartó adatsor ártó szándékkal történő felhasználásával az mrxsmb20.sys-re hivatkozással lefagyás idézhető elő a célpont Windows klienseken, amennyiben azok rosszindulatú SMB szerverhez kapcsolódnak.

A Kék Halállal (képünk illusztráció) járó sérülékenység először maximális pontszámot kapott a hiba veszélyességét jelző tízes skálán, de az alaposabb kivizsgálás után végül 7,8 pontos lett. Kihasználásához ugyanis szükség van arra, hogy a távoli támadó rávegye a célpontot egy, a feltételeknek megfelelően konfigurált SMB szerverhez való kapcsolódásra.

Ez ugyanakkor nem különösebben nehéz feladat; azt kell csupán elérni az áldozatnál, hogy rákattintson egy ártó szándékkal létrehozott linkre – amit akár e-mailben is el lehet küldeni a célpont számára. Amint Outlookban rákattint erre vagy megnyit egy, a linket láthatatlanul (például kép formájában) beágyazottan tartalmazó website-ot a fenyegetésről mit sem sejtő felhasználó, megjelenik a jól ismert kék halál a monitoron.

Fél éve ismert

A hiányosságot felfedező Laurent Gaffié elárulta a The Registernek, hogy az esetet a Microsofttal közösen megvitatva arra a megállapításra jutottak, a sérülékenység felhasználható távolról indított szolgáltatásmegtagadásra irányuló támadásra. Gaffié szerint a hibával rendszerújraindítás kényszeríthető ki helyileg, Netbios vagy LLMNR poisoning révén, vagy távolról egy UNC link segítségével.

Fontos megjegyezni, hogy ezt a triviális sebezhetőséget rögtön meg kellett volna fognia a Microsoft Security Development Lifecycle (SDLC) eljárásának, meglepő módon azonban nem így történt. Az IT-biztonsági szakember szerint ez azt jelenti, hogy a kód nem – vagy nem megfelelően - volt auditálva azelőtt, hogy az megjelent volna a frissebb operációs rendszerekben.

Gaffié állítása szerint még tavaly szeptember 25-én vette fel a kapcsolatot a Microsofttal. Utóbbi decemberi patch ciklusára el is készítette a javítást, de aztán februárra halasztotta kiadását. Indoklása szerint azért, mert ekkor egyszerre számos SMB update-et ad ki, és így cikkünk tárgyául szolgáló hibát is egy kalap alá veheti velük.

Gaffié ezen a hozzáálláson felháborodva döntött úgy, hogy egy héttel a frissítés megjelenése előtt közzé teszi a sebezhetőségről szóló leírást. Ez már a sokadik alkalom, hogy minden szükséges adat birtokában a Microsoft „ráül” az információra, és ahelyett, hogy minél hamarabb kiadná a javítást, különböző indokokra hivatkozva késlelteti azt, adott hangot sértettségének a kutató.

Biztonság

A telefonszám kiröppen a telefon börtönéből

A tengerentúlon néhány nap múlva élesben is bemutatkozik a T-Mobile Digits, amely leszámolna a hagyományos, SIM-kártyákra épülő mobilos előfizetői modellekkel.
 
Egyre gyorsuló ütemben tűnnek el a bankfiókok a világon, pénzügyeink intézése mindinkább online történik. Alig egy évtized alatt drasztikusan át fognak alakulni bankolási szokásaink.

a melléklet támogatója az OTP Mobil

Hirdetés

Okos pénzügyi tervezés – növekvő konverzió a kkv-knál

A kis- és középvállalkozások életében megfigyelhető az a tendencia, hogy bár saját piaci és működési környezetüket ismerik, a fizetési megoldásokban rejlő lehetőségekkel egyáltalán nem vagy csak alig vannak tisztában.

A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az SAP megnyerte az első csatát: elsőfokú döntés született a közvetett szoftver felhasználás licencdíj vonzatairól. Dr. Andriska Zsófia (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.