Οι ερευνητές του Google Project, Tavis Ormandy και Natalie Silvanovich ανακάλυψαν μια άκρως επικίνδυνη ευπάθεια στα Windows κατά τη διάρκεια του Σαββατοκύριακου, δίνοντας αυτομάτως στην Microsoft περιθώριο 90 ημερών για την επιδιόρθωσή της.
Οι ερευνητές ανακοίνωσαν το εύρημά τους μέσω του Twitter, αναφέροντας πως πρόκειται για το χειρότερο remote code execution [flaw] που έχει εντοπιστεί στα Windows.
Μετά την αποκάλυψη των ερευνητών, η Μicrosoft έσπευσε να επιδιορθώσει την ευπάθεια, κάτι που έπραξε σε χρόνο ρεκόρ, με την διαθέσιμη ενημέρωση να αποστέλλεται τώρα μέσω του Windows Update.
Ο γίγαντας του λογισμικού παρείχε περισσότερες πληροφορίες σχετικά με το κενό ασφαλείας, εξηγώντας ότι επηρέαζε τον μηχανισμό προστασίας από κακόβουλο λογισμικό (anti-malware protection engine) των Windows 7, 8.1, RT και 10.
Η ευπάθεια εκτέλεσης απομακρυσμένου κώδικα που ανακαλύφθηκε μπορεί να επιτρέψει σε έναν εισβολέα να αναλάβει τον έλεγχο ενός συστήματος με τη βοήθεια κατάλληλα διαμορφωμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου, μολυσμένων ιστότοπων ή κακόνουλων instant messages.
Το χειρότερο είναι ότι οι επιτιθέμενοι μπορούν να εκμεταλλευτούν το ελάττωμα χωρίς οι χρήστες να διαβάσουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή να ανοίξουν τα συνημμένα, γι’αυτό οι εμπειρογνώμονες ασφαλείας της Google έσπευσαν να το χαρακτηρίσουν ως ένα από τα κρίσιμα κενά ασφάλειας απομακρυσμένης εκμετάλλευσης που έχει ανακαλυφθεί πρόσφατα στα Windows.
Οι ερευνητές της Microsoft εξηγούν ότι εάν έχει ενεργοποιηθεί η προστασία σε πραγματικό χρόνο (real-time protection) σε ένα ευάλωτο σύστημα, η σάρωση των μολυσμένων αρχείων ενεργοποιεί αυτόματα το exploit. Αν η επιλογή αυτή είναι απενεργοποιημένη, ο εισβολέας πρέπει να περιμένει μέχρι οι χρήστες να σκανάρουν χειροκίνητα τα αρχεία.
Η Microsoft συνιστά στους χρήστες να ενημερώσουν τα συστήματά τους το συντομότερο δυνατόν αναφέροντας πως η ενημερωμένη έκδοση του Malware Protection Engine είναι η 1.1.13704.0. Η ευάλωτη έκδοση είναι η 1.1.13701.0.
“Η ενημερωμένη έκδοση αντιμετωπίζει μια ευπάθεια που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα εάν το anti-malware protection engine της Microsoft σαρώσει ένα ειδικά κατασκευασμένο αρχείο. Εάν ένας εισβολέας εκμεταλλευτεί επιτυχώς αυτό το θέμα ευπάθειας, μπορεί να εκτελέσει αυθαίρετο κώδικα στο λογαριασμό LocalSystem και να πάρει τον έλεγχο του συστήματος”, εξηγεί η Microsoft.
Δεδομένου ότι ο λογαριασμός LocalSystem έχει πρόσβαση σχεδόν σε όλους τους πόρους, μπορεί να υπάρξουν ακόμη πιο σοβαρές επιπτώσεις για την ασφάλεια, επισημαίνουν οι ερευνητές.
* Οι απόψεις του ιστολογίου μπορεί να μη συμπίπτουν με τις απόψεις του/της αρθρογράφου ή τα περιεχόμενα του άρθρου.
Οι ερευνητές ανακοίνωσαν το εύρημά τους μέσω του Twitter, αναφέροντας πως πρόκειται για το χειρότερο remote code execution [flaw] που έχει εντοπιστεί στα Windows.
Μετά την αποκάλυψη των ερευνητών, η Μicrosoft έσπευσε να επιδιορθώσει την ευπάθεια, κάτι που έπραξε σε χρόνο ρεκόρ, με την διαθέσιμη ενημέρωση να αποστέλλεται τώρα μέσω του Windows Update.
Ο γίγαντας του λογισμικού παρείχε περισσότερες πληροφορίες σχετικά με το κενό ασφαλείας, εξηγώντας ότι επηρέαζε τον μηχανισμό προστασίας από κακόβουλο λογισμικό (anti-malware protection engine) των Windows 7, 8.1, RT και 10.
Η ευπάθεια εκτέλεσης απομακρυσμένου κώδικα που ανακαλύφθηκε μπορεί να επιτρέψει σε έναν εισβολέα να αναλάβει τον έλεγχο ενός συστήματος με τη βοήθεια κατάλληλα διαμορφωμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου, μολυσμένων ιστότοπων ή κακόνουλων instant messages.
Το χειρότερο είναι ότι οι επιτιθέμενοι μπορούν να εκμεταλλευτούν το ελάττωμα χωρίς οι χρήστες να διαβάσουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή να ανοίξουν τα συνημμένα, γι’αυτό οι εμπειρογνώμονες ασφαλείας της Google έσπευσαν να το χαρακτηρίσουν ως ένα από τα κρίσιμα κενά ασφάλειας απομακρυσμένης εκμετάλλευσης που έχει ανακαλυφθεί πρόσφατα στα Windows.
Οι ερευνητές της Microsoft εξηγούν ότι εάν έχει ενεργοποιηθεί η προστασία σε πραγματικό χρόνο (real-time protection) σε ένα ευάλωτο σύστημα, η σάρωση των μολυσμένων αρχείων ενεργοποιεί αυτόματα το exploit. Αν η επιλογή αυτή είναι απενεργοποιημένη, ο εισβολέας πρέπει να περιμένει μέχρι οι χρήστες να σκανάρουν χειροκίνητα τα αρχεία.
Η Microsoft συνιστά στους χρήστες να ενημερώσουν τα συστήματά τους το συντομότερο δυνατόν αναφέροντας πως η ενημερωμένη έκδοση του Malware Protection Engine είναι η 1.1.13704.0. Η ευάλωτη έκδοση είναι η 1.1.13701.0.
“Η ενημερωμένη έκδοση αντιμετωπίζει μια ευπάθεια που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα εάν το anti-malware protection engine της Microsoft σαρώσει ένα ειδικά κατασκευασμένο αρχείο. Εάν ένας εισβολέας εκμεταλλευτεί επιτυχώς αυτό το θέμα ευπάθειας, μπορεί να εκτελέσει αυθαίρετο κώδικα στο λογαριασμό LocalSystem και να πάρει τον έλεγχο του συστήματος”, εξηγεί η Microsoft.
Δεδομένου ότι ο λογαριασμός LocalSystem έχει πρόσβαση σχεδόν σε όλους τους πόρους, μπορεί να υπάρξουν ακόμη πιο σοβαρές επιπτώσεις για την ασφάλεια, επισημαίνουν οι ερευνητές.
* Οι απόψεις του ιστολογίου μπορεί να μη συμπίπτουν με τις απόψεις του/της αρθρογράφου ή τα περιεχόμενα του άρθρου.
0 Σχόλια