Hackere skyder sig ind på pivåbent sikkerhedshul i XP

Microsoft har endnu ikke lukket den sårbarhed, som en sikkerhedsekspert fra Google offentliggjorde i juni. Nu advarer Microsoft om en stigning i angreb, som udnytter sårbarheden.

Microsoft advarer brugere af Windows XP om en stigning i antallet af angreb, som forsøger at udnytte en sårbarhed, som blev afsløret i juni.

Det drejer sig om en sårbarhed i den protokol, som bruges til hjælpefiler i Windows XP og Windows Server 2003.

Sårbarheden blev fundet af en sikkerhedsekspert hos Googles afdeling i Schweiz, som angiveligt underrettede Microsoft den 5. juni, men valgte at offentliggøre sårbarheden allerede den 10. juni.

Vel at mærke med tilstrækkeligt mange oplysninger til, at der hurtigt begyndte at cirkulere kode, som kan udnytte sårbarheden til angreb.

Det vakte opsigt i sikkerhedskredse, at Microsoft blot fik fem dage henover en weekend til at reagere på henvendelsen om sårbarheden. Normal kutyme er, at man giver en softwareleverandør mindst tre måneder til at analysere sårbarheden og klargøre en patch.

Microsoft advarer om, at selskabet de seneste dage har set en kraftig stigning i antallet af angreb ved hjælp af sårbarheden. Det er ifølge Microsoft kun Windows XP, som er sårbar, men det efterhånden ni år gamle styresystem er fortsat den mest udbredte variant af Windows.

Ifølge Microsoft kan sikkerhedshullet kun lappes midlertidigt ved helt at slå hjælpefilsprotokollen fra. Det betyder, at alle hjælpefiler og visse funktioner i Kontrolpanelet i Windows XP ikke vil virke.

Microsoft har endnu ikke annonceret, om selskabet når at blive klar med en sikkerhedsopdatering før den 13. juli, hvor Microsoft næste gang har planlagt at udsende dets månedlige opdateringer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Hansen

Jeg er ikke den store fan af M$ men jeg synes at det er dårlig stil hvis de kun fik fem dage til fejlrettelse...

Jeg ved godt at Google og M$ ikke er de bedste venner men det her er bare dårlig stil fra Google.

  • 0
  • 0
Svend Andersen

Dårlig stil ville være, hvis de ikke informerede.

Hvor længe er sikkerhedshuller om at blive lukket på Linux?

Når kildekoden er lukket, er det kun MS, som kan fjerne fejlen. De har på den måde udelukket hjælp fra en masse dygtige folk.
Fem dage er måske ikke meget, men det er dog en slat.
At det er henover en weekend burde være ligemeget, der er vel altid nogen på arbejde.

  • 0
  • 0
Uffe Seerup

@Svend Andersen:

Læs: [i]IBM Security Solutions
X-Force® 2009 Trend and Risk Report[/i] her: http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Ved udgangen af 2009 var 50% af Linux sårbarheder som blev rapporteret i løbet af året stadig ikke patchet. Lidt værre så det ud for "kritiske" Linux sårbarheder: Her var 53% ikke lukket ved årets udgang.

De tilsvarende tal for Microsoft (alle produkter) 29% hhv. 15%. Microsoft lukker altså hullerne hurtigere og ser ud til at koncentrere sig mere om kritiske fejl.

Travis Ormandy rapporterede fejlen til MS en 5. juni (en lørdag). Han ville have dem til at love en fejlrettelse indenfor 60 dage. MS fortalte ham at de ville analysere og vende tilbage med en tidsplan. Det ville de gøre fredag den 11. juni. Men onsdag den 9. juni (mindre end 4 dage efter rapporten) lagde Ormandy alle oplysninger ud på zero-day listen.

Det burde være åbenbart for V2's læsere at software kan være en kompliceret størrelse. Man "fikser" ikke bare et problem i et styresystem i løbet af få dage. Du skal dels teste om rettelsen er effektiv men du skal også teste om den knækker andre ting utilsigtet. Forestil dig at fx. alle Fransksprogede Windows XP'er pludselig ikke kunne starte. Kan nogen huske hvilke dønninger det gav da et rootkit fik XP'er til at crashe efter en opdatering?

Test problematikken blev iøvrigt belyst (utilsigtet) af Ormandy selv. For at give sin handling et seriøst skær havde han også udarbejdet et fix som han anbefalede XP brugere at køre. Problemet var bare at hans "fix" (ifølge det danske firma Secunia) IKKE var effektivt. Det lukkede kun nogle af vejene ind, men samtidigt var informationen om de andre veje nu nem at finde.

Travis Ormandy er ansat i Google. Google går stærkt ind for [i]responsible disclosure[/i] - altså at man rapporterer sårbarheder men ikke går offentligt med dem. Selvom Ormandy hævder at hans handlinger ikke har noget med Google at gøre, har han stadig brugt både Google ressourcer og diskuteret sårbarheden med Google kolleger. Det åbner mulighed for at anklage Google for hykleri: De støtter kun responsible disclosure når det vedrører Google software?

  • 0
  • 0
Uffe Seerup

Jeg tror nu at det er korrekt at Google som sådan ikke står bag det her.

Der er snarere tale om en super intelligent person med et lidt for stort ego og en trang til at bevise det. Dem er der en del af i hans gren af branchen.

Det hører i øvrigt med til historien at han kontaktede Microsofts security response team (MSRT) lørdagen inden Microsofts månedlige [i]patch tuesday[/i] og offentliggjorde detaljerne dages efter patch tuesday. Var det fuldstændigt urimeligt at MS først skulle overstå tirsdagen, derefter analysere sårbarheden, prioritere den og planlægge hvor den passer ind i deres patch cyklus?

Det ligner at han manglede en undskyldning for at offentliggøre hans nye fund hurtigst muligt. At Microsoft ikke efter hans mening svarede ham hurtigt nok mente han åbenbart var tilstrækkeligt. Det var et ret cool fund.

Det ændrer bare ikke ved at han er ansat i en virksomhed som har en politik om [i]responsible disclosure[/i]. Han benyttede firmaets infrastruktur, ressourcer og tid. Han kommunikerede med kolleger om sårbarheden og hvordan den kunne udnyttes og brugte også på den måde sit ansættelsesforhold.

At han så mener at han offentliggøre sårbarheden uden at det berører Google er (for sådan en intelligent person) ret naivt. Jeg kunne også godt forestille mig at det faktum at han offentliggjorde angrebsklar kode kunne betyde at personer som lider tab som konsekvens af disse angreb kunne sagsøge Google - amerikansk lov og jury systemet og alt det dér.

Og hvad er implikationerne? Skal Microsofts sikkerhedseksperter nu til at finde fejl i Google docs/apps og Chrome og offentliggøre dem? Ja, for Googles software har også sårbarheder. Mange.

Taberne er brugerne. Al software har fejl. En meget tydelig tendens i de senere år er at angriberne ikke selv finder sårbarheder. De venter til der bliver information tilgængelig om sårbarheder som er lette at udnytte, hvorefter de designer angreb. Ofte er disse angreb baseret på "white-hat" hackers proof-of-concept kode, præcist som i dette tilfælde.

Derfor pådrager personer som Ormandy sig et stort ansvar når de ikke bare offentliggør detaljeret information om sårbarheder, men også ligefrem offentliggør kode som demonstrere præcist hvordan et angreb kan gennemføres.

  • 0
  • 0
Log ind eller Opret konto for at kommentere