Microsoft o závažné bezpečností chybě možná ví už od roku 2007

Kritická bezpečnostní díra ohrožuje uživatele Windows, potažmo Internet Exploreru. Záplata ještě neexistuje a možná ani delší dobu existovat nebude. Řada indicií však nasvědčuje tomu, že Microsoftu o nebezpečí ví minimálně rok a půl. Díru přitom již útočníci zneužívají k napadení počítačů.

Na počátku června jsme vás informovali, že Windows XP a Windows Server 2003 sužuje závažná bezpečnostní chyba, která útočníkům umožňuje převzít kompletní kontrolu nad napadeným systémem. Kritická zranitelnost se ukrývá v komponentě DirectX (přímo DirectShow) a útok probíhá přes „podstrčení“ a následné spuštění souboru ve formátu videa QuickTime. Díra přesto zůstává i nadále na svém místě, Microsoft záplatu stále nevydal. Pro dočasné řešení proto mohou uživatelé, kteří se případného útoku bojí, použít nástroj, který parsování QuickTime vypne: http://support.microsoft.com/kb/971778

V posledních dnech se i přes masová média, včetně televize, šíří zprávy o další kritické bezpečnostní zranitelnosti v produktu této firmy. V tomto případě jde o závažnou díru v prvku Video ActiveX Control, jež je součástí webového prohlížeče Internet Explorer.

Zranitelnost je to závažnější, že útočník k napadení systémů a k získaní kontroly vlastně ani moc nepotřebuje, aby s ním oběť nevědomky spolupracovala. Pro zneužití díry stačí, když uživatel přes Internet Explorer navštíví webovou stránku, jež v sobě skrývá škodlivý kód, jenž systém přes díru napadne. „Útočník, který by s úspěchem zneužil tuto zranitelnost, by mohl získat stejná práva jako lokální uživatel. Při použití Internet Exploreru je kód spuštěn vzdáleně a nemusí si žádat žádného zásahu uživatele,“ varuje Microsoft.

Microsoft záplatu na zranitelnost nemá, současné útoky, které této díry zneužívají, se proto označují jako přívlastkem „zero-day“. Jediné, co Microsoft teď uživatelům radí, je použít dočasné řešení a chybný ActiveX Control odstranit, aniž by mělo dojít k nějakým problém s kompatibilitou.

Zatím bylo zjištěno, že s úspěchem lze napadnout systémy Windows XP a Windows 2003 s Internet Explorerem verze 6 a 7, přesto však bezpečnostní experti z Microsoftu radí, aby dočasné řešení použili i uživatelé Windows Vista. Stejně jako v případě výše zmíněné zranitelnosti je dostupné dočasné řešení od Microsoftu na jeho webu: http://support.microsoft.com/kb/972890

Bohužel se však někteří nepředpokládají, že Microsoft záplatu vydá v dohledné době. Například Ryan Naraine z Kapersky Lab, známé společnosti vyvíjející software pro počítačovou bezpečnost, odhaduje, že díru se nepodaří zalepit dřív než za několik měsíců.

Věděl celou dobu Microsoft o zranitelnosti?

Že systémy Windows ohrožuje takto kritická zranitelnost, jež útočníkovi umožňuje převzít kontrolu nad počítačem prakticky bez větší interakce s uživatelem, je nepříjemné. Nepříjemnější je, že se opravdu může stát to, že se záplata neobjeví dříve než za pár měsíců (i když tohle je spekulace, byť od bezpečnostního experta). O to hůř ale vypadají zprávy o tom, že Microsoft o díře a jejich následcích ví už minimálně jeden a půl roku.

V článku o zranitelnosti Microsoft za objevení a nahlášení chyby děkuje Ryanu Smithovi a Alexu Wheelerovi z IBM ISS X-Force. Zmínění experti spolu v IBM dříve opravdu pracovali, ale Wheeler je nyní zaměstnancem 3Com (TippingPoint DVLabs).

Wheeler serveru Computerworld potvrdil, že společně se Smithem zranitelnosti objevili. Více zásluh nicméně připisuje Smithovi. Na otázku, kdy díru našli, ale odmítl odpovědět. „Na to bych raději neodpovídal,“ řekl a odkázal na laboratoř ISS X-Force spadající pod IBM. Důvodem je jeho smlouva o mlčenlivosti, jež se zranitelnosti týká a jíž v tehdy podepsal. Šalamounsky však řekl následující: „Dělali jsme na ni ještě před mým příchodem do TippingPointu.“ Tam nastoupil v lednu 2008. Tedy před rokem a půl...

O tom, že Microsoft o díře věděl před dlouhou dobou, svědčí i číslo zranitelnosti: CVE-2008-0015. Podle dostupné databáze bylo číslo zarezervováno 13. prosince 2007.

Laboratoř ISS X-Force na dotazy týkající se data nahlášení zranitelnosti ještě nereagovala, ale v pondělí oznámila, že její odborníci zjistili, že ji útočníci zneužívají přinejmenším od 9. června. V odpovídající knihovně msvidctl.dll navíc Robert Freeman ISS X-Force objevil ještě další díru.

Computerworld nepochodil ani u Microsoftu, který na otázky, kdy byla chyba nahlášena – zda to bylo na konci roku 2007 nebo 2008 – nebo proč díru neopravil, rovněž neodpověděl.

Přestože se k těmto otázkám nemůže Wheeler vyjádřit , neboť je vázán mlčenlivostí, k jiným věcem své řekl. Podle něj díra představuje velké bezpečnostní riziko. „Je relativně snadné ji zneužít,“ řekl. „Aby váš systém byl napaden, stačí navštívit (škodlivou) webovou stránku.“ Dále varuje, že ačkoliv kód pro zneužití díry ještě není moc rozšířený, je jen otázkou času, než jej zkopírují další.

I když Microsoft  na své stránce (na níž výše odkazujeme) připravil dočasné řešení problému spočívající ve vypnutí ActiveX Control, Wheeler lidem radí snadnější způsob, jak se před hrozbou ochránit: používat jiný webový prohlížeč. Firefox, Opera, Chrome ani Safari totiž technologii ActiveX nepotřebují a nepoužívají.

9. 7. 2009

Autor: Oldřich Klimánek