Tror Microsoft sliter med hullfiks

Tror Microsoft sliter med hullfiks

Snarveishullet til Microsoft utnyttes videre, og lappingen kan by på problemer.

Tirsdag kunne Siemens bekrefte at en av deres kunder har fått oppleve ”snarveishullet” på kroppen.

Windows-ormen, som er døpt Stuxnet, tar sikte på å angripe noe så spesielt som fabrikksystemer, og i går kunne altså Siemens bekrefte at en tysk fabrikant de ikke ønsker å navngi er truffet. Siemens prøver nå å finne ut om ormen har gjort skade på fabrikken, ifølge Computerworlds nyhetstjeneste.

Ormen drar nytte av et ikke foreløpig lappet hull i alle Windows-versjoner fra 2000 og oppover. Den smitter via portable lagringsmedier, sågar også nettverksmedier, via snarveisfiler (.lnk) med ondsinnet kode. Den ble først sett i Iran, der en ikke navngitt kunde av det hviterussiske virusselskapet Virusblokada kunne melde om datamaskiner som startet på nytt og på nytt uten årsak. Virusselskapet fikk like etterpå en hel rekke meldinger om den ondsinnede programvaren fra hele Midtøsten.

- Kan ta tid

Microsoft bekreftet hullet først forrige fredag.

Mandag kunne selskapet komme med en kort beskjed om at ting er i arbeid, skriver Computerworlds nyhetstjeneste.

- Microsoft jobber for tiden med å utvikle en sikkerhetsoppdatering til Windows for å adressere denne sårbarheten, sier selskapet via en oppdatering i sin sikkerhetsbulleteng.

Tirsdag kunne de ikke vise til noen tidsplan, og sikkerhetsekspertene er uenige om hvor lett det blir for Microsoft å fikse hullet.

- Måten Windows designer snarveier på har feilet, og jeg tror det blir en vanskelig jobb for Microsoft å fikse det, sier Roel Schouwenberg fra Kaspersky Lab.

Han baserer uttalelsen på at Microsoft aldri har fikset en sikkerhetsfeil i snarveier før, og dermed ikke har noen sikkerhetsprosess for dette på plass. Schouwenberg er overrasket over at ingen sikkerhetsforskere, heller ei Microsoft, har sett hullet før nå.

- Det kan ta dem tid å lappe, mener Schouwenberg.

- Kan komme fort

En annen utfordring for Microsoft er at koden er gammel – den eksisterer helt tilbake til Windows 2000, noe som gjør det vanskelig med en kjapp lappesak.

Men en sikkerhetsekspert som kun går under et alias, HD Moore, som også er sikkerhetssjef i Rapid7 og skaper av det velkjente Metaspolit-hackersettet, er mer optimistisk en Schouwenberg.

- Min gjetning er at de vil komme med en oppdatering utenfor rytmen innnen to uker, ettersom sårbarheten nå er ute og på grunn av pressedekningen rundt Siemens-programvarehackingen, sier han.

Microsoft lapper vanligvis sikkerhetshull på en fast månedlig dag, den andre tirsdagen hver måned, gjerne kalt ”lappetirsdag”. Neste lappetirsdag hadde vært 10. august, men i stygge sikkerhetsrelaterte saker hender det Microsoft bryter rytmen og slipper lappesak så snart den er klar.

HD Moore har lagt en utnyttelse av hullet til i Metasploit-rammeverket og sier han også har klarte å modifiser koden til å gjennomføre forbikjøringsangrep der alle Windows-brukere står i fare for å bli angrepet om de besøker en ondsinnet nettside.

Schouwenberg modererer seg og legger til at det godt kan hende han lar seg blir overrasket når det gjelder når hvor fort lappesaken er på plass.

- Det er alltids mulig at Microsoft vil komme på en lur idé som lar dem lappe hult fort, sier han.

Microsoft har i påvente av fiks gitt ut et verktøy som automatiserer de midlertidige løsningene for sikring, det vil si å slå av ikonene. Men det vil også medføre at Windows blir vesentlig mer vrien å bruke fordi snarveisikoner vil forsvinne fra skriebord, startmeny og andre steder.