Cyberprzestępcy wykorzystują lukę w centrum pomocy Windows
Według informacji Microsoftu i producenta oprogramowania antywirusowego Sophos pojawiły się już pierwsze strony WWW, które wykorzystują ujawnioną w ubiegłym tygodniu lukę w Centrum pomocy technicznej Windows, dzięki której można infekować systemy odwiedzających szkodliwym kodem.
Według informacji Microsoftu i producenta oprogramowania antywirusowego Sophos pojawiły się już pierwsze strony WWW, które wykorzystują ujawnioną w ubiegłym tygodniu lukę w Centrum pomocy technicznej Windows, dzięki której można infekować systemy odwiedzających szkodliwym kodem.
Problem
Przyczyną problemu jest nieprawidłowa implementacja funkcji Whitelist, za pomocą której centrum sprawdza, czy dokument pomocy pochodzi z wiarygodnego i godnego zaufania źródła. Warto zaważyć, że Centrum pomocy technicznej Windows może nie tylko pobierać dokumenty z Sieci (przez URL ze schematem hcp://), ale także uruchamiać lokalne programy, np. pomagające w zdalnym zarządzaniu komputerem, i inne tego rodzaju narzędzia. Tym samym możliwe staje się wykonywanie dowolnych aplikacji na komputerze. Za pomocą zmanipulowanych adresów URL potencjalny napastnik jest w stanie uruchomić np. klienta FTP, aby w ten sposób pobrać trojana, a następnie go uruchomić.
Zagrożenie
Na razie jednak problem dotyczy tylko użytkowników Windows XP, ponieważ krążący w Sieci exploit działa jedynie w tym systemie. Wprawdzie teoretycznie może on dotyczyć także Windows Servera 2003. ale tam exploit (jeszcze) nie działa. Systemy Windows 7, Vista i Server 2008 nie są narażone na występowanie tej luki.
W minionym tygodniu usterka wywołała wiele zamieszania, przede wszystkim ze względu na to, w jaki sposób doszło do jej ujawnienia. Jej odkrywca Tavis Ormandy opublikował informacje wraz z exploitem PoC, nie dając Microsoftowi wystarczająco dużo czasu na reakcję. Koncern wprawdzie przygotował poprawkę Hotfix, ale nie naprawia ona tej luki w sposób pełny.
Zważywszy na fakt, że Ormandy pracuje dla Google'a, specjaliści od bezpieczeństwa zadają sobie pytania, czy Google stosuje dwa różne standardy; taka sytuacja jest przykładem Full Disclosure, a tymczasem sam Google jest orędownikiem Responsible Disclosure. Jednak Ormandy twierdzi, że w tym przypadku działał na własną rękę, a jego pracodawca nie ma z tym nic wspólnego.
Obejście
Microsoft pracuje jeszcze nad łatą i do tego czasu zaleca załatanie luki za pomocą tymczasowego narzędzia Fix-It. Wyrejestrowuje ono protokół hcp://, w wyniku czego wywoływanie dokumentów pomocy przestaje funkcjonować.
wydanie internetowe www.heise-online.pl