Microsoft торопится закрыть новую уязвимость в технологии SMB 2 // 20 Ноября 2012

Эксперты по безопасности выставили на всеобщее обозрение новый код для атаки на операционные системы Windows. Новый код использует уязвимость, которая известна с 7 сентября текущего года, но до сих пор была закрыта от публичного доступа. Сейчас код атаки доступен в очередной версии пакета Metasploit, который используется для проверки уязвимости систем. Следует заметить, что пока не обнаружено ни одной вредоносной программы, которая бы использовала эту уязвимость в целях заражения компьютера и дальнейшего распространения.

Первый вариант кода для использования уязвимости был разработан две недели назад небольшой компанией под названием Immunity, однако доступен только клиентам компании с платной подпиской. Новый, открытый вариант кода создал Стивен Фьюер (Stephen Fewer) из компании Harmony Security. По заявлению разработчиков, атака позволяет выполнить на целевой машине произвольную программу без авторизации. Теоретически, эта атака может принести серьезные последствия, предоставляя злоумышленникам обширные возможности.

На данный момент известно, что обсуждаемая уязвимость связана с реализацией протокола SMB (Server Message Block) версии 2 в операционных системах Windows Vista с пакетами обновлений SP1 и SP2, а также Windows 2008 Server с пакетами обновлений SP1 и SP2. Этот протокол используется для передачи данных в локальных сетях. Как сообщил Костя Корчинский (Kostya Kortchinsky), старший исследователь компании Immunity, реализация атаки из новой версии Metasploit работает в основном на виртуальных машинах – на физических машинах система чаще всего просто перестает работать. Тем не менее, по словам разработчиков Metasploit, атака определенно работает, по крайней мере, на некоторых конфигурациях физических машин.

В любом случае, публикация кода новой атаки в открытом доступе должна стать серьезным сигналом для пользователей Windows упомянутых версий. Вполне возможно, что этот алгоритм атаки найдет воплощение в реальных вирусах. С другой стороны, эта атака не опасна для систем Windows XP, Windows Server 2003 и Windows 2000, где реализован старый вариант протокола SMB. Кроме того, по словам того же Корчинского, в Windows 7 описанная уязвимость протокола SMB 2 полностью устранена.

Компания Microsoft уже подтвердила наличие уязвимости атака компании Immunity работает в 32-битных версиях Vista и Windows Server 2008, но по коду Metasploit пока нет никаких комментариев. Еще 18 сентября компания Microsoft выпустила утилиту из серии Fix It, которая полностью отключает SMB 2 на подверженных уязвимости системах. Полноценные исправления планируется выпустить позже, в рамках плановой процедуры. Выпуск очередного набора исправлений намечен на 13 октября этого года.

Познакомиться с открытым описанием атаки на механизм SMB 2 в системах Vista и Windows 2008 Server можно на сайте Metasploit.

По материалам сайта Computer World.