Kinesere udnytter dugfrisk sårbarhed til at lave blå skærm i Windows XP

Mindre end to dage efter Microsoft lukkede et kritisk sikkerhedshul i Windows, cirkulerer de første kodestumper, der kan udnytte sårbarheden til angreb.

Microsoft udsendte tirsdag aften dansk tid sine månedlige sikkerhedsopdateringer, og mindre end to dage senere er det første kodeeksempel, som kan udnytte det mest alvorlige af sikkerhedshullerne, dukket op. Det skriver SC Magazine.

Koden er angiveligt sluppet fri i to omgange fra kinesiske websteder og kan bruges til at demonstrere, hvordan sikkerhedshullet kan udnyttes til at forårsage 'blå skærm', altså en kritisk fejl, hvor systemet går ned, på Windows XP og Windows Server 2003.

Det kritiske sikkerhedshul, som Microsoft lappede med opdateringen MS12-020, findes i den protokol, som bruges til fjernadministration af Windows. Microsoft har kategoriseret sikkerhedshullet som kritisk for alle udgaver af Windows.

Sikkerhedshullet har vakt en del bekymring i it-sikkerhedskredse, fordi Windows RDP, som sikkerhedshullet findes i, ganske vist sjældent er aktiveret for desktop-installationer af Windows, men derimod ofte for Windows-servere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Jensen

Det kan jo være at man kan udnytte sikkerhedsbristen til andet end blot at lægge servere ned. Som artiklen nævner, så er RDP jo generelt åben på de fleste servere, så hermed er der en mulighed for at tilgå forretningsdata.

Men selvom usikkerheden udelukkende medfører BSoD, så kan det være meget generende for virksomheder der aktivt anvender RDP til deres medarbejderes adgang til systemer. Eventuelt kan man jo også forestille sig at de vil anvende dette til blackmailing.

Mvh,
Kim

  • 3
  • 0
Lars Hansen

Hvilken gavn har kineserne af, at Windows går i "blå skærm", og at vi tvinges til, at slå automatiske opdateringer til, for at undgå problemer?

Jeg vil tro de gør det for fornøjelsens skyld og vise at de kan udnytte sårbarheden til at opnå et resultat. Blå skærm er ikke = at de har tilgang til data, der står jo ingen steder, at de har udnyttet sårbarheden til andet end at crashe maskinen.

Om det er kinesere eller danskere, er vel egentlig også underordnet. Problemet er ikke, at nogen laver et exploit, problemet er heller ikke, at der er en fejl i microsofts software. De ting, de er forventelige, uanset OS og eller kode nørders fritidsinteresser.

Problemet er udelukkende folk, der fra start af ikke formår, at holde deres OS opdateret sikkerhedsmæssigt, eller ikke forstår deres ansvar og rolle i administrationen af deres systemer. Når selvsamme mennesker, placerer data, der på den ene eller anden måde, er kritisk, på disse systemer, opstår skaden.

Så, medmindre du vil lave en honeypot, bør du altid have automatiske opdateringer slået til. Medmindre da din XP maskine står udenfor netværk, og du aldrig tilfører systemet ny data, f.eks. via USB nøgler eller lignende.

Om så alle opdateringer skal godkendes manuelt eller ej, ændrer det intet på, at ansvaret for et givent system, ligger hos dem, der administrerer det.

Det vel IT børnehave viden :-)

  • 0
  • 0
Anonym

Jeg har lige haft problemer med blå skærm, på 2 maskiner.
Den ene, har kørt som hjemmeserver, og den anden er en almindelig netmaskine.

Så det er måske anvendt bredt.
Hvis man får et svar der beskriver at man har ramt rigtigt, så behøver man efterfølgende kun at kigge der hvor man har ramt rigtigt.

  • 0
  • 0
Anonym

@ Lars Hansen

Her vil det ikke hjælpe at have sine maskiner opdateret, for opdateringen kommer først efter at hullet er udnyttet.

For kritisk data, er jeg helt enig i, at man ikke skal smide det på en maskine der har net tilsluttet. Dette gælder for alle systemer, om så det er en mindre virksomhed, eller det er en stor offentlig institution.

Om så alle opdateringer skal godkendes manuelt eller ej, ændrer det intet på, at ansvaret for et givent system, ligger hos dem, der administrerer det.
Det vel IT børnehave viden :-)

Det kan næsten ikke bive mere korrekt.
Men jeg er ikke sikker på, at alle har gået i den børnehave.

  • 0
  • 1
Peter Stricker
  • 1
  • 0
Anonym

@ Peter Stricker

Jo, jeg mener at man ikke kan sikre sig mod net-exploit, med mindre man sørger for, at man aldrig bruger net på den pågældende maskine/system.

Jeg kører med alle opdateringer slået til, jeg kigger også efter om der skulle ligge en opdatering, uden for normalt opdateringsinterval.
Det har jeg altid gjort.
Jeg har selv vært med til, at sørge for, at opdateringer og antivirus kunne komme rundt til alle, tilbage inden internettet.
Jeg er meget opmærksom på den slags, og har været det i 30 år.
Alligevel, kan jeg af og til finde forskellige trojanere, eller andet snavs, på mine maskiner.
En hel enkel metode til at efterprøve dette, er at tage en gammel HD, og smide den igennem en virus-scan på en ny maskine.
I de tilfælde jeg har gjort det, har der i 100 % af alle tilfælde været en eller anden form for trojaner eller virus på de pågældende HD, hvilket også betyder at disse trojanere eller virus, har været aktive, i det tidsrum hvor maskinerne har været i drift.

Jeg er helt enig med Lars Hansen, når han skriver " at ansvaret for et givent system, ligger hos dem, der administrerer det. "
Undtagelsen fra dette, skal ligge i, at en given bruger forsætligt misbruger, eller udviser uagtsomhed.
Ved almindeligt brug, af et givent system ligger ansvaret hos administratoren.

Det er IT-børnehave viden, som Lars Hansen også kalder det.

I forbindelse med Internet, er der tale om et globalt system. Derfor har det ingen værdi, når man i Danmark beskriver at det er ulovligt at trænge uretmæssigt ind hos andre. Det er ikke noget man har nogen juridisk kontrol med, det er helt enkelt umuligt, for Dansk lov, gælder kun i Danmark.
Om man opholder sig i Kina, eller i Køge, er lige meget, hvis man vil trænge ind i et givent system, internettet er globalt.
Derfor er det ekstra vigtigt, at man som administrator er ekstra opmærksom på sit ansvar, hvis dette er placeret i Danmark.

er man en mindre virksomhed, så er det min anbefaling, at man udviser denne ansvarlighed over for egen virksomhed.
Er man et stort offentligt IT-system, skal denne ansvarlighed udvises over for det samlede system.

Og det ER muligt. Ofte handler det kun om at overholde helt grundlæggende principper.

  • 1
  • 0
Henrik Kramshøj Blogger

Læs http://aluigi.org/adv/termdd_1-adv.txt
og http://isc.sans.org/diary/INFOCON+Yellow+-+Microsoft+RDP+-+MS12-020/12805 m.fl.

Det er en alvorlig sårbarhed som formentlig snart bliver til en orm. Det kan ikke siges ofte nok, overvej hvad der er udstillet til internet og netop RDP bør kun være åbent til admins, evt. via VPN. Al software har fejl og skal opdateres.

Dernæst angående auto-update eller ej, hvis man har forretningskritiske data på Windows bør man følge MS patch tuesday og straks læse release notes for deres opdateringer - og overveje hvornår man opdaterer. Jeg kunne snildt forestille mig at man generelt havde et servicevindue når patch tuesday kom, så man KUNNE installere updates hurtigt.

"Patch Tuesday is usually the second Tuesday of each month, on which Microsoft releases security patches."
http://en.wikipedia.org/wiki/Patch_Tuesday

  • 2
  • 0
Peter Stricker

Jo, jeg mener at man ikke kan sikre sig mod net-exploit, med mindre man sørger for, at man aldrig bruger net på den pågældende maskine/system.


Det er godt nok mange år siden, jeg sidst har haft en computer, der ikke var på nettet. Både privat og professionelt.

Prøv lige at overveje én gang til, om du virkelig skriver det, du mener.

Resten af dit alt for lange svar er jeg sådan set enig med dig i, men det har jo ingen relevans for maskiner der ikke er på nettet.

  • 0
  • 0
Anonym

Peter Stricker

Det er godt nok mange år siden, jeg sidst har haft en computer, der ikke var på nettet. Både privat og professionelt.

Prøv lige at overveje én gang til, om du virkelig skriver det, du mener.

Jeg har maskiner der ikke kommer på nettet.
Jeg har også maskiner der kun kommer på nettet i forbindelse med opdatering, hvor jeg kun har SW på, og ingen Data.

Jeg sletter også data, hvis ikke jeg mener det kommer andre ved, og data ikke længere har værdi for mig.

Hvad du finder rigtigt, kan jeg ikke forholde mig til, det er dit valg.

Jeg vil i øvrigt henvise til Henrik Kramshøj's udemærkede indlæg.

  • 0
  • 0
Anonym

@ Nicolai S

Nej, exploit blev lagt ud, et par dage efter opdateringen.
Den kan have været i brug, i årevis, men mister sin værdi når den er kendt, hvorfor den bliver frigivet.

  • 0
  • 1
Peter Stricker

Jeg har maskiner der ikke kommer på nettet.


Tillykke med det. De er nok ikke i fare for netbaserede exploits. Og der er nok ikke ret mange forretningskritiske data, der leveres fra disse. Kan du eventuelt komme med et eksempel på en maskine med forretningskritiske data, som ikke har netforbindelse til andre computere?

Jeg har også maskiner der kun kommer på nettet i forbindelse med opdatering, hvor jeg kun har SW på, og ingen Data.


Ja ja, hvis der ikke er data på dem, så er der nok heller ikke nogen forretningskritiske data på dem. Det er irrelevant med disse anekdoter.

Jeg sletter også data, hvis ikke jeg mener det kommer andre ved, og data ikke længere har værdi for mig.


Nå.

Hvad du finder rigtigt, kan jeg ikke forholde mig til, det er dit valg.


Det giver jo sig selv. Var der en pointe med at skrive det?

Jeg vil i øvrigt henvise til Henrik Kramshøj's udemærkede indlæg.


Det er et særdeles fornuftigt råd, han kommer med. Men hvorfor vil du henvise til det. Han skriver jo intet om at man ikke må smide en maskine med kritiske data på nettet. Derimod giver han anvisninger på, hvad man skal gøre med de maskiner, der er på nettet. Og hans råd er valide for alle computere med Microsoft operativsystemer, uanset værdien af data på maskinen.

  • 1
  • 1
Nicolai Hansen

@Thomas Hansen: Læs op på sagen.

Fejlen blev fundet af Luigi Auriemma og rapporteret til ZDI, som videregav oplysningerne til MS (2011-08-24) [1]
MS rettede fejlen og gennemtestede rettelsen og udgav den til den sidste 'Patch Tuesday' (2012-03-15) [2]
På 'Exploit Wednesday' (2012-03-16) blev den første "exploit code" udgivet [3], men den resultere i BSoD (ikke remote code execution).

Ved nærmere analyse af denne "exploit code" viser det sig at dens payload stammer fra Luigi Auriemma [4], så et sted mellem Luigi->ZDI->MS->MAPP->? er koden altså lækket.

P.t regler man med et det er en Microsoft Active Protections Program (MAPP) partner som lækket stammer fra [5], men intet er sikkert endnu. Dog stammer koden ikke fra onde kinesiske hackere som har hacket RDP i årevis.

[1] http://www.zerodayinitiative.com/advisories/ZDI-12-044/ (ZDI-12-044)
[2] https://technet.microsoft.com/en-us/security/bulletin/ms12-020 (MS12-020 aka CVE-2012-0002)
[3] http://115.com/file/be27pff7 (Kinesisk crap)
[4] http://aluigi.org/adv/ms12-020_leak.txt (Luigi Auriemma)
[5] https://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-cod... (Microsoft Security Response Center)

  • 0
  • 0
Anonym

@ Nicolai S
At Luigi Auriemma finder fejlen for et år siden, er vel ikke ensbetydende med at den ikke er blevet udnyttet før ?
Luigi Auriemma er vel ikke den eneste i verden, der kan finde en exploit. Men det er prisværdigt at han gør opmærksom på den.
Jeg tror ikke at Kinesere er mere onde end andre, hvis det er hvad du hentyder til.

  • 1
  • 0
Nicolai Hansen

At Luigi Auriemma finder fejlen for et år siden,

(6 måneder + 20 dage)

er vel ikke ensbetydende med at den ikke er blevet udnyttet før ?

Nej, det er det ikke. Men det er heller ikke hvad du skrev:

Den [exploitet som blev lagt ud] kan have været i brug, i årevis, men mister sin værdi når den er kendt, hvorfor den bliver frigivet.

Det exploit, der p.t. er det eneste kendte exploit, stammer fra Luigi Auriemma og har ikke været i brug før opdateringen (det er en simpel PoC).

Hvis nogen kendte til exploitet (før opdateringen) så ville de med garanti ikke udgive en anonym exploit kode.
Enten har koden været kendt af nogen med mange ressourcer (á la Stuxnet), men de ville ikke udgive koden (det ville kunne være med til at røbe dem)
Eller også var koden kendt af grey/blackhats som straks ville lave et stort botnet (profit), eller udgive en ikke-anonym exploit kode (credit).

Det giver ingen mening at udgive en anonym exploit kode, uden selv at få noget ud af det (det er trods alt ikke et exploit som man lige tilfældigt falder over).

Og exploitet mister da bestemt ikke hele sin værdi, fordi en patch er blevet udgivet? Port en exploit kode til MSF og tjen $1k (lovligt). Eller vær' den første til at lave en virus og tjen det tidobbelte (ulovligt).

@Maciej Szeliga: Bestemt enig, men hvad er alternativerne? Apple er næsten ligeså langsom (og de forklare ikke hvad de har rettet = endnu mere farligt). Og så kan man hoppe over på Linux, men så mangler man en ordentlig Office pakke (OOo/LibreOffice lever bestemt ikke op til M$' Office).

  • 0
  • 0
Kenneth Mejnert

Den kan have været i brug, i årevis, men mister sin værdi når den er kendt, hvorfor den bliver frigivet.

Siden hvornår er det, at en exploit er kendt, blevet ensbetydende med at den mister sin værdi? Det forudsætter jo, at folk/virksomheder formår at patche deres software rettidig. Langt de fleste hacks udnytter gamle sårbarheder. Hvorfor ulejlige sig til at lede efter nye sårbarheder, når der er et hav af gamle sårbarheder man kan udnytte?

  • 2
  • 0
Log ind eller Opret konto for at kommentere