"Még több MS08-067 exploit"

Microsoft, Windows

A Microsoft Malware Protection Center blogja szerint újabb támadáshullám érkezett, amely az MS08-067 biztonsági figyelmeztetőben (korábbi cikkünk) leírt sebezhetőséget próbálja kihasználni. A múlt héten a központ már blogolt az MS08-067 exploit-okról, de akkor még csak limitált számú "exploit" volt "szabadon" és azok is csak célzott támadások voltak. A múlt hétvégén a központ munkatársai arról értesültek, hogy új malware bukkant fel, s használja ki a sebezhetőséget. Az elmúlt két napban ez a malware lendületbe jött és megnövekedett a támogatási hívások száma a Microsoft-nál.

Az új malware SHA1 hash-e 0x5815B13044FC9248BF7C2DBA771F0E6496D9E536 és a Microsoft Worm:Win32/Conficker.A-ként detektálja.

A worm többségében vállalati hálózatokon terjed, de érkezett már hívás otthoni felhasználótól is. Random portot nyit 1024 és 10000 közt és mint webszerver működik. Találomra használja ki a hálózaton levő, nem patch-elt gépeken az MS08-067 sebezhetőséget. Miután sikeresen kihasználta a hibát a távoli számítógépen, a megtámadott számítógép HTTP-n letölti a worm egy példányát, felhasználva a worm által nyitott random portot.

A részletek elolvashatók itt.

Nagyon tanulságos anyag, köszi, hogy belinkelted, ezt még nem láttam eddig.
A 21-es slide alapján azonban a tömegeknek nem haszontalan a patching, legalábbis az exploit-kihasználás görbéje alapján most kezdődik a felfutás ebben a konkrét esetben is.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

( sjrextor | 2008. 11. 26., sze – 22:06 )

Nem (csak) a virus/spyware/malware/exploit veszelyes a gepre, hanem a felhasznalok hozza(nem)allasa.

( kris | 2008. 11. 26., sze – 23:42 )

ez nálunk az egész céget úgy hazavágta mint a szél (na jó csak a mi telephelyünket, de így is jó pár száz munkaállomás), a gáz az, hogy ugye a mondás az, hogy neked csak azzal kell törődnöd, hogy mindig hagyd, hogy felkússzon a frissítés, meg a vírusirtót ne lődd ki. nos itt ez semmit sem segített.

csendes megelégedés - így foglalnám össze az érzéseimet.

Én ezt csak azért nem tartom valószínűnek, mert az MS08-067 sebezhetőségre a foltozás out-of-band megjelent a Microsoft Updaten, (vagyis nem a patch kedden), és az automatikus frissítést használó gépekre automatikusan, azonnal települt. (Hiszen kritikus sebezhetőségről és hibajavításról van szó).

Vagyis a te rendszeredben vagy nincs minden gépen bekapcsolva az automatikus frissítés, vagy ha Windows Serveren WSUS-t használsz, akkor nem autoapprove a kritikus frissítések terítése, vagy ha manuális, akkor te magad nem engedted ki időben.

Az MS08-067-re a javítás október 23-án jelent meg, és azóta már patch kedd is volt. Ha még ennek ellenére sincs fent ez a javítás a rendszerben, akkor komoly gondok lehetnek a patchelési folyamataitokkal, rendszereitekkel, mindenképp nézd meg alaposan.

A másik lehetőség, hogy nem ez a sebezhetőség, és nem ez a féreg van azokon a gépeken.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

A legjobb helyen is megesik, hogy becsúszik valami. Nem feltétlenül mindig a rendszert üzemeltető tehető felelőssé, ha a rendszer nincs időben patch-elve. Van úgy, hogy egyszerűen nem engedik leállítani a rendszert, mert 3 műszakban nyomatják. Pénz clusterre, virtualizációra és egyéb másra nincs, hogy ezt meg lehessen szolgáltatás kiesés nélkül csinálni, ilyenkor marad az imádkozás, hogy húzza ki a rendszer valahogy a következő betervezett leállításig.

Természetesen ha beüt a mennykő, akkor a rendszer gazdáját húzzák karóra elsőként.

--
trey @ gépház

Tökéletesen igazad van ebben.

Ez nagyobb cégeknél az IT vezető felelőssége: el kell tudnia dönteni, hogy a biztonság mennyire fontos. Fontosabb-e, hogy a felhasználók egy hónapig ne bootolják újra a gépüket pl, mint az, hogy a teljes rendszert veszélynek teszik ki. Én egy IT vezető helyében (vagy ha egy személyes IT-s lennék egy kisebb cégnél), biztos, hogy a biztonságra szavaznék. Összességében egy frissítés és egy reboot lényegesen kisebb kockázatot rejt a rendszer egészére és a rendelkezésre állására, mint az, hogy potenciálisan bekúszik egy féreg, ami már bármit megtehet.

Szerencsére az automatikus, központosított frissítéskezelés nem egy ördöngősség már technikailag, sem Windows (pl. WSUS, ráadásul az ingyenes is), sem Linux esetén, ezért ehhez komolyabb folyamatok sem kellenek.

De szerintem azt igenis kötelezővé kell tenni (technikai úton, és NEM rábeszéléssel), hogy ilyen esetekben a kliensek is újrabootoljanak, akár hajnalban, vagy este. Nálunk itt a Microsoftnál házon belül is ez történik. Mint felhasználó nem szeretem, hogy a System Center Configuration Manager kitolja a frissítéseket a gépemre, és még vissza is számol, hogy egy órán belül itt márpedig reboot lesz, de ha akarom előbb is lehet - de később nem. Nem szeretem, mint user, de kénytelen vagyok tudomásul venni, nincs más opció. Viszont mint informatikus, értem, hogy ez miért fontos.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

Valóban az IT vezető felelőssége, de arra céloztam, hogy nem mindig az IT vezető kezében van a döntés lehetősége 100%-ban. Amikor az IT vezető döntését felülírja egy "hozzáértő" tulajdonos vagy vezérigazgató azzal, hogy "Bélám, ne riogassál már itt ezzel, értsd meg, hogy most nem tudunk leállni még 1 percre sem, de eddig sem volt semmi baj, különben is van tűzfalunk, most vettük 2 millióért. Majd hétvégén bejössz aztán megcsinálod."

Ilyen esetben, ha mindez a hét elején történik, akkor azért elég nagy a "sebezhetőségi ablak".

Természetesen ha mégis beüt valami, akkor senki sem fog emlékezni arra, hogy az IT vezető megmondta előre. Éppen ezért érdemes minden ilyen felülbírálatot írásban kérni :)

--
trey @ gépház

hát abból amit nekünk kommunikáltak, nem úgy tűnt, mintha ilyen nagyon tudatosan elemezték volna a kockázatokat -- pedig a Microsoft-hoz hasonló méretű cégnél vagyok (nem M.o.-n).

persze amikor megtörént a baj, akkor már rögtön lenyomták a frissítést, de nem hagytak egy órát a forced reboot-ra, hanem csak öt percet

@trey: ezek mind irodai laptopok; a rendelkezésre állás nem annyira problémás kérdés, és nem szegény a cég :)

a csendes megelégedésemhez alapvetően az is hozzájárult, hogy saját felelősségre van egy kis firewall-om a gép előtt, így én voltam az egyetlen aki tudott dolgozni tegnapelőtt az emeletünkön

reggel egy kicsit gondolkoztam rajta és rájöttem, hogy semmi olyasmi nincs bennem, hogy bezzeg a Unix - inkább a lelkiismeretem megnyugtatása végett gyorsan megfrissítettem egy fejlesztői gépet, amit régen elhanyagoltam, és bekapcsoltam rajta az automatikus frissítést is - ezzel is előrébb jutott a világ egy kicsit :)

"Én ezt csak azért nem tartom valószínűnek, mert az MS08-067 sebezhetőségre a foltozás out-of-band megjelent a Microsoft Updaten, (vagyis nem a patch kedden), és az automatikus frissítést használó gépekre automatikusan, azonnal települt"

Ha Hunger igazat szolt, akkor ez keves az udvosseghez.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ne abból indulj ki, hogy a rendszerek többségét még a patch megjelenése ELŐTT megfertőzték - tudnánk már róla - Magyarországról egyetlen esetet sem jelentettek, még a patch megjelenése utáni héten sem. Elvétve lehetnek persze ilyen rendszerek is, de azért ennek a kockázata a világ összes rendszerére is kicsi, itthon meg méretarányosan mégkisebb. Nem ok nélkül van, hogy most kezdett el megnőni a bejelentett biztonsági incidensek száma - a máig nem patchelt rendszerekre most kezdték el tolni az első publikus exploitokat.

Házon belül a Microsoftnál én vagyok a biztonsági incidensekkel foglalkozó kolléga, ezért minden nap kapom a jelentéseket a világból, hogy melyik országban mi a helyezet ezzel a konkrét sebezhetőséggel kapcsolatban. Ezen a héten kezdődött el valóban terjedni ez a féreg, de egyelőre a terjedés üteme és veszélyessége "moderate" besorolást kapott (a támadott és fertőzött gépek még mérsékelt száma alapján, valamint amiatt, mert már a patch elérhető jó ideje)

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet