Súlyos Windows hiba: már a ravaszon van a vírusírók ujja

A Microsoft augusztusi hibajavításai között megbújik egy olyan frissítés is, amely egy nagyon aggasztó sérülékenységet orvosol. A vírusterjesztők már dörzsölik a tenyerüket.
 

A Microsoft az augusztusi hibajavító kedden összesen 48 biztonsági rést foltozott be egyebek mellett a Windows, az Internet Explorer, az Edge, az SQL Server és a SharePoint Server kapcsán. A feltárt és javított sérülékenységek közül 25 kapott kritikus veszélyességi besorolást, ami azt jelenti, hogy ezek jelentős mértékben kiszolgáltatottá tudják tenni az érintett rendszereket a károkozásokkal szemben. E 25 sebezhetőség közül azonban kiemelkedik egy, amely különösen veszélyesnek bizonyult.
 
A szóban forgó sérülékenység a Windows Search szolgáltatáshoz kapcsolódik. A Microsoft tájékoztatása szerint a biztonsági rés egy memóriakezelési hibára vezethető vissza, és a Windows Search felé küldött, speciálisan összeállított üzenetekkel válhat kihasználhatóvá. Amikor erre sor kerül, akkor a támadó akár teljes mértékben átveheti az irányítást az érintett rendszer felett, sőt akár rendszergazdai jogosultságokkal felvértezett fiókokat is létrehozhat. A problémát azonban tovább tetézi, hogy a sebezhetőség SMB-kapcsolatokon keresztül is kihasználhatóvá válhat, méghozzá oly módon, hogy a támadónak előzőleg authentikálnia sem kell magát a célkeresztbe állított rendszeren. Ez pedig rögtön felveti az automatizált vírusterjesztés lehetőségét.
 
Azt már korábban láttuk, hogy ha egy kártékony program - mint amilyen például a WannaCry vagy a NotPetya - férgekre jellemző képességekkel gyarapodik, akkor annak nagyon súlyos következményei lehetnek, és globális vírustámadások vehetik kezdetüket. A Trend Micro Zero-Day Initiative csoportjának kutatói szerint a Windows Search sebezhetőségében benne van a lehetőség az automatizált, féregszerű vírusterjesztésre.
 
Ehhez a Symantec azt is hozzátette, hogy az első vizsgálatok szerint a sérülékenység akkor is kockázatot jelent, ha azt nem sikerül a támadóknak kódfuttatásra kihasználniuk. Egy első körben sikertelennek tűnő akció ugyanis hamar DoS-támadássá alakulhat át, mivel a biztonsági rés miatt a Windows rendellenesen kezdhet működni, illetve összeomolhat.
 
Mind a Microsoft, mind a biztonsági cégek a CVE-2017-8620 azonosítójú sérülékenységre gyógymódot jelentő frissítés mielőbbi telepítését javasolják. Azonban, ha erre nincs mód - például kompatibilitási okok miatt - akkor lehetőségek szerint le kell tiltani a Windows Search szolgáltatást. Ez azonban egyéb keresőmegoldásokra is negatív hatással lehet, tehát csak megfontoltan célszerű cselekedni. Ehhez a Microsoft útmutatót is adott.