Olyan kritikus besorolású nulladik napi sérülékenységekről számolt be a Microsoft, amelyekhez még nem készült javítócsomag. Azért tette mégis közzé a két hiba jellegét (a részletes leírását nem, csupán a védekezés módját), mert a sérülékenységet hekkerek is használták már célzott támadásokhoz.
A biztonsági rés a Windows összes támogatott verzióját érinti, de sajnos a még mindig sok gépen futó Windows 7-ben is megvan.
A betűkészletek kezelése is lehet kockázatos
Mindkét biztonsági rés a Windows fontkezelésével függ össze. Az Adobe Type Manager könyvtárat érintik, és távoli kódvégrehajtási lehetőséget biztosítanak a támadónak. Az előzetes leírásból – érthető módon – nem sok minden derül ki a hibák működéséről. A Microsoft annyit elárult, hogy a probléma abból adódik, hogy a Windows Adobe Type Manager könyvtára nem megfelelően kezeli az Adobe Type 1 PostScript formátumot.
A hibajavító folton már dolgoznak, de annak kiadásáról nem írt közelebbit a Microsoft tájékoztatója. A szöveg utal ugyanakkor a hibajavító keddre, melyből a következő április 14-én lesz. Remélhetőleg addig elkészül a hibajavítás, aminek letöltéséhez a Windows 7, a Windows Server 2008 és a Windows Server 2008 R2 esetében ESU (Extended Security Updates) licenc kell majd.
A két biztonsági rést kihasználva a támadók Windows 10 környezetben csak korlátozott jogosultságokkal futtathatnak kódot AppContainer sandboxban. Arra azonban lesz lehetőségük, hogy programokat telepítsenek, adatokat töröljenek vagy módosítsanak, vagy például létrehozzanak teljes körű felhasználói jogokat biztosító fiókot.
A két biztonsági probléma kiaknázásához első lépésben kell felhasználói közreműködés is: a támadónak rá kell vennie a felhasználót, hogy nyisson meg egy rosszindulatú kódot indító preparált dokumentumot. Valójában már az is elég, ha az Outlook előnézeti ablakában megnyitja.
De mit lehet tenni addig?
A két biztonsági rés kiaknázása ellen nincs tökéletes orvosság, csak a támadások kockázatát lehet csökkenteni. Ennek egyik legalapabb módja, hogy ki kell kapcsolni a Window Explorerben az OpenType betűtípusok automatikus megjelenítését is lehetővé tevő dokumentumelőnézeti opciót: Windows Intéző/Nézet/Beállítások
kiválasztása, majd a Mappabeállítások
panelen a Nézet
fül kiválasztása, ahol a speciális beállítások között ki kell kapcsolni a Mindig ikonok jelenjenek meg (miniatűrök soha)
opciót.
További védelmet jelent, ha a felhasználó kikapcsolja a WebClient szolgáltatásokat, mert így kiiktatja a legvalószínűbb távoli támadásvektort. Ehhez a Services.msc
parancsot kell futtatni (pl. [Win R] gombkombináció). A megjelenő panelen meg kell keresni a WebClient
bejegyzést, amire jobb egérgombbal kattintva jeleníthetők meg a beállítási lehetőségei. A panel Általános
fülén az Indítás típusa
sort kell megkeresni, és átállítani Letiltva
-ra.
Mint a Microsoft írja, ezek az intézkedések nem iktatják ki teljes mértékben a támadás esélyét, de például a támadó csak úgy kap lehetőséget távoli kódfuttatásra, hogy ahhoz szüksége lesz a megcélzott felhasználó közreműködésére is.
A védekezési lehetőségek további részleteiről itt tájékozódhat.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak