Lapper superstygt Windows-hull

Lapper "superstygt" Windows-hull

- Forvent orm veldig snart. Dette er Blaster og Sasser om igjen, sier sikkerhetsekspert om feil som fikk patch i går.

På lappetirsdag i går lappet Microsoft tre sårbarheter i fildelingsprotokollen SMB. En sikkerhetsekspert mener to av feilene som ble lappet er så alvorlige at de kan lage «sveitserost» av bedriftsnettverk, melder Computerworlds internasjonale nyhetstjeneste.

- Dette er superstygt, sier Eric Schultze, teknisk sjef i Shavlik Technologies Llc.

Han roper varsku og mener man bør forvente å se ormer som utnytter hullet, nærmest omgående. Ormene tror han kommer til å havne i samme gate som Blaster og Sasser, to ormer som i henholdsvis 2003 og 2004 herjet dataverden der de spredte seg til millioner av Windows-maskiner.

- Enkel hack

To av feilene er av Microsoft merket «kritiske», mens den tredje er flagget som «moderat». De to kritiske medfører ifølge Schutlze en stor trussel, ettersom utnyttelse av disse er så enkelt som å sende feilformet data til ulappede maskiner.

- Disse feilene gjør at en hacker kan sende slemme pakker til en Microsoft-maskin og gjør hva de vil på den maskinen uten noen form for fullmakt. Den eneste forutsetningen for suksess er en kobling fra angriper til offer over netbios-port tcp 139 eller tcp 445. De fleste maskiner har disse åpne i utgangspunktet, sier han.

Sårbare bedrifter

Det var mye av de samme omstendighetene som muliggjorde spredningen av Blaster og Sasser, ifølge Schultze. Han påpeker at mange personlige brannmurer, klok av skade, blokkerer dem, men mener mange kontornettverk ikke er like varsomme. Amol Sarwate i Qualys Inc sårbarhetslaboratorium støtter Schultzes bekymringer for bedriftsnettverk.

- Portene er alltid åpne hos bedrifter, og ingen brukerinteraksjon er nødvendig. Dette er stygt, sier han.

- Hvis en orm slippes, og klarer å komme seg inn på et bedriftsnettverk, vil den lage sveitserost av nettverket ganske kjapt, sier Schultze.

Fikk en 3-er

Microsoft på sin side later ikke til å være så bekymret som Schultze og Sarwate er. I sin utnyttelsespotensialindeks har de gitt lappepakken en 3-er, som er den laveste scoren.

Andrew Storms fra Ncircle Network Sercurity Inc tror dette skyldes at Vista og Server 2008 er immune mot en av de to kritiske sårbarhetene. Den andre kritiske sårbarheten er systemene ikke immune mot, men systemene har imidlertid fildeling deaktivert som standardinnstilling, ifølge Storms. Derfor er denne flagget som moderat for disse to systemene. Storms legger til at det også kan være andre formildende omstendigheter som gjør at Microsoft gir en 3-er.

Det er ikke så alt for lenge siden Microsoft fikset et annet hull i SMB-protokollen. I november valgte selskapet å gå høylydt ut med en fiks som til og med ble lansert utenfor rytmen av den faste lappetirsdagen. Slappe/mangelfulle/ikkeeksisterende oppdateringsrutiner har gjort at millioner er smittet av ormer som utnytter feilen.

Les om: