MSBlast-подобный эксплойт на свободе [ Редагувати ]
Код, использующий критическую уязвимость, для которой Microsoft выпустила патч на прошлой неделе, вырвался на волю, угрожая владельцам компьютеров атакой в стиле MSBlast.
10 февраля Microsoft выпустила поправку, устраняющую ошибку сетевого ПО, которая делает уязвимыми все системы Windows XP, NT, 2000 и Windows Server 2003. Компания предупредила владельцев ПК, что эта уязвимость может быть использована писателями вирусов и червей. И вот, спустя всего четыре дня после выхода обновления, на французском веб-сайте появился код, позволяющий любому воспользоваться ошибкой. Это означает, что не обновившие свои системы пользователи могут подвергнуться новой атаке червя, подобного MSBlast.
Ричард Штернз, директор по экстренному реагированию компании Cable & Wireless, подтвердил ZDNet UK, что код, похоже, работает. "Мы исполнили скомпилированный код на необновленных системах ХР и Windows 2000 SP3, и обе они вышли из строя. Код вызывает переполнение буфера и немедленно переводит ПК в состояние перезагрузки, из которого невозможно выйти".
По словам Штернза, опубликованный эксплойт легко превратить в еще одну "смешанную атаку" вроде MSBlast или Code Red, когда червь состоит из двух разных модулей, один из которых отвечает за распространение, а другой содержит разрушительный заряд. "Наступила эпоха двухфазных, или двухуровневых червей. Подавляющее большинство червей, которые мы наблюдали раньше, заботились только о собственном размножении. Теперь же они несут вторую нагрузку, направленную на организацию атаки DDoS".
Джей Хейзер, главный аналитик компании TruSecure, специализирующейся на управлении рисками, сказал ZDNet, что собственно код представляет собой инструмент атаки DDoS и способен нанести ограниченный ущерб, но ввиду того, что он использует переполнение буфера, его применение грозит хаосом: "Атака denial-of-service эквивалентна выпуску воздуха из шины автомобиля. Она раздосадует водителя и может раз или два доставить удовольствие атакующему, но все же это не то же самое, что позволить кому-то без спроса кататься на вашем автомобиле. Тот факт, что DoS-атака использует переполнение буфера, значительно повышает вероятность гораздо более изощренной атаки", - говорит Хейзер. По его словам, пользователи могут чувствовать себя в безопасности, только если немедленно установят пач.
Однако Штернз говорит, что если этот код будет использован для организации атаки, он непременно вызовет разрушения, так как и компании, и индивидуальные пользователи, пока не грянет эксплойт, чрезвычайно неохотно обновляют свои системы. "Взять хотя бы Code Red - пач для него вышел за шесть месяцев до появления червя. А что он натворил? Когда дело касается обновления систем, хуже компаний могут быть только индивидуальные пользователи".
