Tavis Ormandy a Natalie Silvanovich, členovia špecializovaného tímu Project Zero, ktorý patrí pod spoločnosť Google a zameriava sa na hľadenie chýb vo vlastných a cudzích produktoch, mali v operačnom systéme Windows odhaliť extrémne vážnu zraniteľnosť. Ormandy o tom informoval prostredníctvom sociálnej siete Twitter, kde zraniteľnosť označil za „šialene zlú“ a tvrdí, že ide o najhoršiu bezpečnostnú dieru za ostatné roky.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. ???
— Tavis Ormandy (@taviso) May 6, 2017
Úplné podrobnosti zatiaľ nezverejnil, takže nie je známe, ktorá verzia alebo verzie systému sú ohrozené, informoval však, že ide o zraniteľnosť, kedy útočník dokáže na diaľku spúšťať ľubovoľný kód. Útočník pritom nemusí byť pripojený k rovnakej lokálnej siete, ako cieľ útoku a zraniteľnosť sa nachádza v niektorej zo štandardných súčastí operačného systému.
Nájdené zraniteľnosti tím najskôr hlási len tvorcom postihnutého produktu, ktorým dáva 90 dní na ich odstránenie. V prípade, že problémy nie sú vyriešené ani po troch mesiacoch, pristupuje k otvorenému zverejneniu podrobností. Týmto spôsobom chce miery na tvorcov pritlačiť, aby nápravu vykonali čo najskôr. Rovnaký postup by mal nasledovať aj v tejto situácii.
Microsoft teda má tri mesiace na to, aby zraniteľnosť opravil bez toho, aby sa do pozornosti dostali bližšie informácie. No pokiaľ je zraniteľnosť skutočne taká závažná, ako tvrdí Ormandy, môžeme čakať, že Microsoftu príde s opravnou aktualizáciou ešte pred uplynutím tohto termínu. Podrobnosti by sme sa tak mohli dozvedieť omnoho skorej.
Aktualizované 12:40: Microsoft spomínanú chybu stihol počas noci zo včera na dnes opraviť pomocou aktualizácie. Prítomná bola v časti jadra Microsoft Malware Protection Engine, ktoré zodpovedalo za analýzu kódu Javascript pred spustením. Útočníkovi kvôli nedostatočnému ošetreniu dátových typov umožňovala premennú vydávať za reťazec, a tým spustiť definovaný škodlivý kód. Ohrozené mali byť operačné systémy Windows 7, 8, 8.1, 10 a Windows Server 2016.
Zákernosť zraniteľnosti spočívala v tom, že predmetné jadro nástroja beží s administrátorskými oprávneniami a pre zneužitie chyby stačilo, aby útočník používateľovi pomocou e-mailu zaslal špeciálne upravený súbor, ktorý by bol jadrom skenovaný. Obeť ho pritom nemusela ani ručne otvoriť, keďže pri jeho stiahnutí došlo k automatickej kontrole cez chybou postihnuté bezpečnostné riešenia. Potencionálne zákernejším zneužitím bolo umiestnenie upraveného kódu na dôveryhodnú webovú stránku, či do online reklamy. Vydanú záplatu stiahnete klasickým spôsobom cez službu Windows Update.
Zdroj: Neowin