Kritikus hibajavítással indul az év

A Microsoft tavaly - egészen december végéig - egyetlen egy soron kívüli frissítést sem tett elérhetővé. Számos biztonsági szakértő ezt érdekes fejleményként értékelte a megelőző évek hibajavítási gyakorlatához képest, és már abban reménykedtek, hogy 2011-et megússzuk rendkívüli frissítés nélkül. Azonban a Microsoft december 29-én eloszlatta a reményeket, és bejelentett egy soron kívüli patch-et. A javítás gyors közzétételére alapos oka volt a cégnek, ugyanis egy olyan sérülékenységet kellett orvosolnia, amely kritikus veszélyességű besorolást kapott.

A Microsoft december végén kiadott közleménye volt a századik, 2011-es biztonsági tájékoztatója. Az MS11-100-as közleménye az ASP.NET sebezhetőségéről számol be. A hiba legfontosabb jellemzője, hogy a kihasználásával az érintett rendszerek ellen szolgáltatásmegtagadási támadások kezdeményezhetők. Méghozzá viszonylag egyszerűen, ugyanis a sérülékenység miatt kis mennyiségű hálózati adatforgalommal is megbéníthatóvá válhatnak azon számítógépek, amelyeken ASP.NET kiszolgálására alkalmas webszerver is fut. Ugyanakkor itt kell megjegyezni, hogy az eddigi vizsgálatok szerint a PHP 5 valamint a Java esetében is felmerülnek hasonló problémák.

A támadóknak a biztonsági rés kihasználásához nem kell mást tenniük, mint speciálisan szerkesztett HTTP-kéréseket valamint kisméretű (100KB-os) fájlokat küldözgetniük a kiszemelt kiszolgálók felé. Ezek hatására a rendszer elkezdi felemészteni a processzor erőforrásait, majd egyes esetekben akár a szerverek összeomlására is sor kerülhet. "A támadók ismételten jelentkező problémákat tudnak előidézni, és az általuk okozott teljesítménycsökkentés elegendő ahhoz, hogy DoS-körülmények alakuljanak ki akár többmagos CPU-val rendelkező szerverek vagy akár klaszterek esetében is" - nyilatkozta a Microsoft.

Az MS11-100-as közlemény a DoS-sérülékenység mellett három másik hibáról is közöl információkat. Ezek elsősorban hitelesítési mechanizmusokban található biztonsági réseket szüntetnek meg, melyek a Forms Authentication kapcsán merültek fel. A Microsoft szerint a hibák kihasználásával a támadóknak adatmanipulációra, adathalászatra vagy webes átirányításokra nyílhat lehetőségük.

A fejlesztők által orvosolt sebezhetőségek miatt a .Net keretrendszer összes verzióját frissíteni kell. A hibajavítások a Windows automatikus frissítési szolgáltatásainak segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le.

Most gyors volt a Microsoft

A Microsoft által soron kívül befoltozott DoS-hibára először Alexander Klink és Julian Wälde kutatók hívták fel a figyelmet. A szakemberek körülbelül egy hónappal ezelőtt értesítették a fejlesztőket a felfedezésükről, és egy héttel ezelőtt adtak hírt nyilvánosan a sebezhetőség létezéséről. A Microsoft szerint jelenleg még nem terjed olyan exploit az interneten, amely alkalmas lenne a sérülékenység kihasználására.

A Microsoftot ezúttal több olyan biztonsági szakember is dicsérő szavakkal illette, akik egyébként nem szoktak elzárkózni a cég kritizálásától. Andrew Storms, az nCircle biztonsági igazgatója elmondta, hogy ezúttal a Microsoft jó benyomást tett rá azzal, hogy számos más fejlesztőcéget megelőzve tette elérhetővé a hibajavítást, és zárta le a biztonsági rést. Wolfgang Kandek, a Qualys műszaki igazgatója is hasonlóan vélekedett. Miközben a szakember a Microsoft mostani reakcióidejét figyelemreméltónak nevezte, addig azt is megemlítette, hogy a sérülékenység miatt többek között a PHP, az Oracle, a Phython és a Ruby fejlesztőinek is lesz még teendőjük.