Újabb Windows hiba okozhatja a fájljaink vesztét

A Windows kapcsán egy veszélyes sérülékenységre derült fény. A legnagyobb probléma, hogy a hiba kihasználására alkalmas kód is elérhetővé vált az interneten.
 

A Windows-ra igencsak rájár a rúd mostanában, legalábbis ami a fájltörléseket illeti. A problémák a Windows 10 őszi nagy frissítésével vették kezdetüket, amikor kiderült, a 1809-es frissítés egyes esetekben törli a felhasználók dokumentumait. Ezért a Microsoft visszakozott, majd javította a hibát. Állítólag már csak napok kérdése, és a frissítés újra elérhetővé válik.
 
A fájltörlési problémák tovább fokozódtak, mivel most egy Windows sérülékenység került nyilvánosságra, amely a támadók kezébe egy igen komoly fegyvert adott. Különösen úgy, hogy nulladik napi sebezhetőségről beszélünk, vagyis a kihasználásához szükséges kód is elérhetővé vált már.
 
A sérülékenységet az a SandboxEscaper álnéven tevékenykedő személy hozta nyilvánosságra, aki már augusztusban is sok fejtörést okozott azzal, hogy - nem éppen etikus módon - nem hagyott időt a fejlesztőknek arra, hogy kijavítsák az általa feltárt rendellenességet. Akkor a Windows Feladatkezelője kapcsán talált egy biztonsági rést, most pedig a Microsoft Data Sharing Service esetében mutatott ki egy hibát.
 
A biztonsági rés lehetőséget adhat arra, hogy a támadó jogosultsági szint emelést hajtson végre, és jogosulatlanul fájlokat töröljön. Az eddigi vizsgálatok szerint a nemkívánatos fájltörlések rendszerállományok esetében is végrehajthatók. Ilyen módon több kockázati tényezővel is számolni kell, amik között a rendszerek összeomlása is szerepel. Emellett fennáll a kockázata a DLL-manipulációs támadásoknak is. (Ekkor a támadó letörli a kiszemelt alkalmazás ártalmatlan DLL-fájlját a hiba kihasználásával, majd egy megfelelő elérési útvonallal rendelkező mappába bemásolja a saját, kártékony DLL-állományát, amit a szoftver betölt.)
 
Sajnos működik
 
Will Dormann, a CERT/CC biztonsági elemzője is szemügyre vette a sebezhetőséget, illetve a SandboxEscaper által közzétett proof-of-concept kódot, majd jelezte, hogy az valóban veszélyt jelent Windows 10 alatt. Azonban az érintett operációs rendszerek között a Windows Server 2016 és a Windows Server 2019 is feltűnhet, mivel ezek is tartalmazzák a sebezhető szolgáltatást.
 
A Microsoft már dolgozik a hibajavításokon, de nem lehet tudni, hogy azok mikor válhatnak elérhetővé. Addig leginkább megelőző intézkedések tehetők, és a többrétegű biztonsági megoldásokban lehet bízni.
 
Közben a 0Patch platformhoz már elérhetővé vált az a micropatch, amely segít a kockázatok csökkentésében.