Microsoft lapper 19 år gammel Heartbleed-lignende sårbarhed i Windows

13. november 2014 kl. 15:207
Microsoft lapper 19 år gammel Heartbleed-lignende sårbarhed i Windows
Illustration: Version2.
En kritisk bug, der har eksisteret i Windows-styresystemet siden 95-udgaven, gør det muligt for uvedkommende at fjernstyre computeren.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tiden hvor gamle sikkerhedshuller, der har eksisteret i mange år, dukker op til overfladen, er åbenbart ikke forbi.

Tidligere på efteråret kom nyheden om Shellshock-sårbarheden, der ramte Unix-lignende systemer frem. Den havde eksisteret siden 1989.

Nu har Microsoft i en større patch-operation lukket flere sikkerhedshuller i virksomhedens Windows og Office-software, hvoraf et af hullerne - også døbt WinShock - efter sigende har eksisteret i 19 år siden lanceringen af det hedengangne Windows 95. Det skriver engelske BBC.

Buggen har fået den kritiske karakter 9,3 ud af 10 på Common Vulnerability Scoring System (CVSS)-skalaen, som afgør alvoren af sikkerhedshuller i software. Opfordringen lyder derfor til alle Windows-brugere at opdatere styresystemet så hurtigt som muligt. Da sårbarheden også rammer Windows Servere, kan den potentielt sætte sikkerheden på systemer med fortrolige data over styr, hvis systemadministratorerne ikke opdaterer i tide.

Artiklen fortsætter efter annoncen

Hackere kan udnytte sårbarheden til såkaldte “drive-by”-angreb, hvor man fjernstyrer ofrets computer og får den til at downloade malware.

WinShock-sårbarheden er af nogle blevet sammenlignet med den alvorlige Heartbleed-sårbarhed, der blev kendt i April i år og eksponerede over en halv mio. af internettets sikkerhedscertificerede webservere. Sammenligningen skyldes blandt andet, at begge sårbarheder udnytter en svaghed i SSL-teknologien, der ellers bruges til at transportere data sikkert over internettet.

Der er endnu ikke nogen, der har forsøgt at udnytte sårbarheden ifølge IBM, men efterfølgende angreb er sandsynlige skriver BBC - især på ældre Windows-maskiner, der ikke er blevet opdateret.

Medarbejdere hos IBM opdagede WinShock-sikkerhedshullet i maj tidligere i år, men holdt det hemmeligt, mens de samarbejdede med Microsoft om at lappe det.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
14. november 2014 kl. 08:06

Der var ihvertfald dømt irriterede brugere ved emergency patching (og deraf følgende genstarter) af servere og klienter i går :)

1
13. november 2014 kl. 15:46

Ville ikke selv gå så langt, som at sige at denne fejl kan sammenlignes med Heartbleed. Der er stor forskel på de 2, og hvor man ved Heartbleed kunne skanne tilfældige ip rækker for fejlen, kræver dette at ofret på den ene eller anden måde besøger en hjemmeside der udnytter denne fejl. Dette exploit er også offentliggjort (IE exploit), så det er nok kun et spørgsmål om dage, før det er implementeret i alle de store exploit kits, og klar til noget drive-by action.

3
13. november 2014 kl. 20:00

Kan du eventuelt give et link som understøtter den påstand?

Jeg kan overhovedet ikke se hvordan denne fejl skulle kunne udnyttes i samme stil som Heartbleed - eller, Shellshock ville nok være mere passende at bruge som eksempel her. Og hvis det rent faktisk var tilfældet, så ville nyhederne være gået fuldstændig amok, da sårbare maskiner Langt ville overskride det Samlede antal maskiner, fra både Heartbleed og Shellshock fejlene.

Som jeg ser det, kan dette udelukkende bruges som drive-by, hvilket i sig selv er slemt nok, men stadig ikke værre end når denne type exploits bliver offentliggjort til f. eks. Java eller Flash - taget Internet Explorers markedsandel i betragtning.

4
13. november 2014 kl. 20:55

Kan du eventuelt give et link som understøtter den påstand?

http://arstechnica.com/security/2014/11/potentially-catastrophic-bug-bites-all-versions-of-windows-patch-now/

"While the advisory makes reference to vulnerabilities targeting Windows servers, the vulnerability is rated critical for client and server versions of Windows alike, an indication the remote-code bug may threaten Windows desktops and laptop users as well. Amol Sarwate, director of engineering at Qualys, told Ars the flaw leaves client machines open if users run software that monitors Internet ports and accepts encrypted connections.

"If they install software that listens on port, then that machine would be vulnerable," he said. An example would be "if they run Windows 7 but install an FTP server on it that accepts connections from outside, or a Web server on a client.""

Umiddelbart virker Version2 artiklen her lidt mangelfuld/misforstået omkring hvad denne bug handler om.

6
13. november 2014 kl. 22:48

Uha. Ser ud til at jeg kiggede på CVE-2014-6332 frem for CVE-2014-6321. At der blev nævnt drive-by, fik mig med det samme til at tænke på det netop udgivne IE exploit, og her kunne jeg altså ikke se en sammenligning. Synes nu stadig der skal tænkes rimeligt bredt, hvis de to skal sammenlignes.

Og ja, vi kommer nok til at se noget Winshock PoC blive smidt sammen i løbet af de kommende uger. Så bliver det jo spændende at se hvor udbredt det bliver, og om folk har patched i tide. Kan da hurtigt nævne et high profile organisationer, som bruger Windows Server, og samtidig arbejder med personfølsomme data. Bliver spændende at følge.

Men undskylder eventuelt forvirring jeg kan have forårsaget. ;)

5
13. november 2014 kl. 21:27

Så enten en server som har en port åben som bruger schannel-krytering. Som man kan skanne for, som sagt. Eller en klient (som bruger schannel) som besøger en ond server.

Hvilket er praktisk talt samme scenarie som for Heartbleed.

Med HeartBleed blev nøgler lækket. Med denne her bliver maskinen overtaget, hvorefter man så jo passende kan stjæle krypteringsnøglen. Så jeg vil mene at denne her er værre end HeartBleed.