Google: Και όμως, η ασφάλεια των Windows παραβιάστηκε με ένα email

Του Thomas Fox-Brewster 

Ορισμένα ελαττώματα δημιουργούν πονοκέφαλο και αυτό ήταν ιδιαίτερα δυσάρεστο. Η Google εντόπισε ελάττωμα στο εργαλείο ασφαλείας που χρησιμοποιούν όλα τα σύγχρονα συστήματα Windows, γνωστό ως Μηχανή Προστασίας της Microsoft από Κακόβουλο Λογισμικό. Η δυσλειτουργία επέτρεπε τον εξ αποστάσεως έλεγχο του εκτεθειμένου υπολογιστή μέσω της αποστολής ενός απλού email. Δεν ήταν καν απαραίτητο το άνοιγμα του email. Η αποστολή του στη συσκευή που χρησιμοποιούσε τα Windows ήταν αρκετή για να πετύχει το hacking, αποκαλύπτουν οι  Natalie Silvanovich και Tavis Ormandy.

 O Ormandy είχε ήδη περιγράψει το σφάλμα ως "πολύ κακό" και "το χειρότερο [του είδους του] που μπορούμε να θυμηθούμε". Σε μια πλήρη τεχνική περιγραφή του σφάλματος, σημείωσε: "Τα τρωτά σημεία στη μηχανή προστασίας [Microsoft Malware Protection Engine] είναι τα πιο επικίνδυνα στα Windows, λόγω των πλεονεκτημάτων, της προσβασιμότητας και της απανταχού παρουσίας που προσφέρει η υπηεσία".

Ευτυχώς, η Microsoft έβγαλε γρήγορα ένα patch και όσοι υπολογιστές χρησιμοποιούν το ευπαθές εργαλείο έλαβαν ένα update. "Εάν το λογισμικό προστασίας που έχει επηρεαστεί διαθέτει real-time προστασία, η μηχανή εντοπισμού κακόβουλου λογισμικού της Microsoft θα σαρώνει τα αρχεία αυτόματα, με απώτερο σκοπό να αξιοποιηθεί η ευπάθεια όταν σαωθεί το ειδικά κατασκευασμένο αρχείο", έγραψε η εταιρεία στο συμβουλευτικό της δελτίο.. "Εάν η σάρωση σε πραγματικό χρόνο δεν είναι ενεργοποιημένη, ο επιτιθέμενος θα πρέπει να περιμένει μέχρις ότου συμβεί η προγραμματισμένη σάρωση για να αξιοποιηθεί η ευπάθεια. Όλα τα συστήματα που εκτελούν την επηρεαζόμενη έκδοση του λογισμικού ασφαλείας είναι εκτεθειμένα σε κίνδυνο.

"Η ενημερωμένη έκδοση αντιμετωπίζει το θέμα ευπάθειας διορθώνοντας τον τρόπο με τον οποίο η Microsoft Malware Protection Engine σαρώνει τα ειδικά κατασκευασμένα αρχεία."

Η Microsoft διευκρίνισε ότι το update θα γίνεται λογικά αυτόματα χωρίς οι χρήστες να χρειάζεται να "κατεβάσουν" κάποιο αρχείο. Μπορούν να ελέγξουν εάν έλαβαν την ενημερωμένη έκδοση, ακολουθώντας τις οδηγίες στο συμβουλευτικό δελτίο της εταιρείας.

Ποιο είναι το σφάλμα;

Το πρόβλημα εντοπίζεται στο NScript –ένα συστατικό στοιχείο της Microsoft Malware Protection Engine που αναλύει τα συστήματα αρχείων και τη δραστηριότητα στο διαδίκτυο και μοιάζει με το JavaScript. Στον κώδικα ανάλυσης, το ΝScript δεν επικύρωνε σωστά τις πληροφορίες που έτρεχε, σε αυτό που είναι γνωστό ως σφάλμα κατηγοριοποίησης. Ο εισβολέας ήταν επομένως σε θέση να κρύψει κακόβουλο κώδικα σε ο,τιδήποτε σαρωνόταν από το λογισμικό, όπως ένα εισερχόμενο μήνυμα ηλεκτρονικού ταχυδρομείου ή τα αρχεία που εξυπηρετούνται από μια ιστοσελίδα. Η ευπάθεια θα μπορούσε να εκδηλωθεί στα Windows 8, 8.1, 10 και στα συστήματα του Windows Server.

Ο Ormandy σημείωσε ότι "δεν υπάρχει κανένας πρακτικός τρόπος για να εντοπιστεί η δυνατότητα εκμετάλλευσης της αδυναμίας σε επίπεδο δικτύου, και οι διαχειριστές θα πρέπει να επιδιορθώσουν το πρόβλημα το συντομότερο δυνατόν."

"Μοιάζει αρκετά σοβαρό", πρόσθεσε ο συν-ιδρυτής της Hacker House, Matthew Hickey. "Η απόδειξη της έννοιας του hacking καταδεικνύει τη δυνατότητα της απομακρυσμένης εκτέλεσης κώδικα σε διάφορα σενάρια: θα μπορούσε να εκμεταλλευτεί ένα σύστημα ανεβάζοντας ένα αρχείο σε έναν web server ή να στείλει ένα e-mail στην επιφάνεια εργασίας της Microsoft Η υπηρεσία προστασίας από κακόβουλο λογισμικό είναι ενεργοποιημένη από προεπιλογή στα Windows 8 και πάνω. Είναι ένα πολύ κρίσι σφάλματα.

"Φαίνεται ότι αυτή η υπηρεσία προστασίας μπορεί να είναι η Αχίλλειος πτέρνα στο μοντέλο ασφάλειας της Microsoft και αυτοί που ελέγχουν το σύστημα θα πρέπει να εξετάσουν την απενεργοποίηση του."

Παρά τη σοβαρότητα, η Microsoft λαμβάνει επαίνους για το πόσο γρήγορα ανταποκρίθηκε στο σφάλμα, αποδεικνύοντας την αξία της διαδικασίας ενημέρωσης.

http://www.capital.gr/forbes/3210715/google-kai-omos-i-asfaleia-ton-windows-parabiastike-me-ena-email