„Microsoft“ neseniai pranešė apie tris naujas „Windows“ spragas. Ir jais jau spėta pasinaudoti. Ar gali naujos saugumo spragos būti „Blaster II“ priežastimi? Plačiau apie tai...

Po keleto savaičių, kai pasirodė „Blaster“ virusas, „Microsoft“ išleido programinės įrangos klaidų taisymo paketą, skirtą taisyti dar daugiau spragų, panašių į tas, kuriomis naudojasi „Blaster“ virusas. Visos trys naujos spragos vertinamos „kritiškai“. „Microsoft“ teigimu, jas nuotoliniu būdu dirbantis atakuotojas gali panaudoti, norėdamas kontroliuoti pažeidžiamas sistemas (įdiegiant programas ar pakeičiant duomenis, saugomus kietajame diske). Trys saugumo spragos paveikia DCOM (Distributed Component Object Model) sąsają su „Windows“ komponentu, vadinamu RPCSS paslauga. Pasak „Microsoft saugumo biuletenio MS03-039“, aprašančio problemą, ta paslauga žinutėms apdoroti naudoja nuotolinių procedūrų iškvietimo RPC (Remote Procedure Call) protokolą. Kompanijos teigimu, tai tinka visoms „Microsoft“ palaikomoms operacinėms sistemoms, išskyrus „Windows ME“. Panaši istorija Hakeriai gali pasinaudoti spraga, kad sukurtų programą, siunčiančią neteisingai suformatuotas RPC žinutes į RPCSS paslaugą, kuri yra pažeidžiamame kompiuteryje. „Microsoft“ teigimu, tos žinutės gali perpildyti buferį, o tai leistų atakuojantiesiems įdiegti savo kompiuterių kodus tame kompiuteryje. Pasak vieno svarbiausių „Microsoft“ saugumo ekspertų Jeffo Joneso, saugumo spragos yra „labai panašios“ į spragą, apie kurią paskelbta liepos mėnesį biuletenyje Nr. „MS03-026“. Kodas, sukurtas pasinaudoti ta spraga, internete pasirodė netrukus po „MS03-26“ biuletenio išleidimo. Per keletą savaičių pasirodė ir interneto virusas „W32.Blaster“, turintis tą pasinaudojimo spraga kodą. Šis virusas apkrėtė šimtus tūkstančių kompiuterių visame pasaulyje. Praėjusį trečiadienį išleistas programinės įrangos klaidų taisymo paketas ištaiso naujausią RPC spragą bei pakeičia ankstesnį paketą. Joneso teigimu, „Microsoft“ dabar klientams rekomenduoja vietoj „MS03-026“ paketo parsisiųsti „MS03-039“. Kaip išvengti problemos Norėdama padėti išvengti panašių atvejų dėl naujosios RPC spragos, „Microsoft“ ragina vartotojus naudotis ugniasienėmis programomis, kad būtų sustabdyta prieiga prie nereikalingų ryšio prievadų, pavyzdžiui, tokių, kokius naudoja „Blaster“. Namų vartotojai taip pat turėtų leisti vykdyti automatinį atsinaujinimą bei automatines įdiegimo galimybes „Windows XP“ bei kitose „Windows“ operacinėse sistemose, kurios automatiškai parsiųs bei įdiegs naują paketą, teigia Jonesas. Jo teigimu, specialiai sukurtame interneto tinklalapyje yra visa informacija apie „Windows“ saugumą. Verslo klientams bei tiems, kuriems reikia papildomos techninės informacijos apie naujas spragas, „Microsoft“ išleido atnaujintą tinklo skenavimo įrankį, galintį nustatyti pažeidžiamas „Windows“ sistemas. Spragas atrado pati kompanija bei keletas nepriklausomų saugumo kompanijų, įskaitant ir „EEye Digital Security“. Joneso teigimu, atrasti naująsias spragas padėjo padidėjęs susidomėjimas „Windows“ kodu, naudojamu valdyti RPC. Tai itin lėmė ir ankstesnė RPC DCOM spraga, kurią atrado Lenkijos hakerių grupė „Last Stage of Delirium Research Group“. Spraga pasinaudota Joneso teigimu, „Microsoft“ nežino apie jokias atakas, kurios naudotųsi naująja spraga. Jis atsisakė komentuoti, ar dabartinės „Blaster“ viruso versijos gali būti modifikuotos, kad pasinaudotų naujai atrasta spraga. „Nenorėčiau spekuliuoti tokiomis galimybėmis“, – teigė Jonesas. Tačiau, praėjus kelioms dienoms po šio Joneso pareiškimo, buvo pasinaudota naująja spraga. „Counterpane Internet Security“ kompanijos programuotojai teigia suradę bei patikrinę pirminį kodą, neva pasinaudojantį „Windows“ sistemomis, turinčiomis vieną iš trijų naujųjų spragų. Bruce'o Schneierio, pagrindinio „Counterpane Internet Security“ kompanijos pramonės vadovo teigimu, jei būtų sukurtas virusas, pasinaudojantis tomis spragomis, jis užkrėstų daug daugiau kompiuterių nei dabartinis „Blaster“.