Windows-sårbarhet allerede under angrep

Kritisk sikkerhetsfiks måtte raskt ut for å hindre spredning av en ondsinnet orm.

Microsoft kom i går kveld, norsk tid, med en sikkerhetsoppdatering til Windows. Det spesielle med dette er at selskapet nesten aldri utgir sikkerhetsoppdateringer utenom den faste planen, det vil si på den andre tirsdagen i hver måned.

Årsaken til den spesielle utgivelsen denne gang, er at Microsoft har vurdert sårbarheten som nå fjernes som så alvorlig at dette ikke kunne vente. Dette skyldes at sårbarheten allerede utnyttes aktivt av ondsinnede.

Sårbarheten berører alle de operativsystemene Microsoft fortsatt støtter, det vil si Windows 2000, Windows XP, Windows Server 2003, Windows Vista og Windows Server 2008. Også pre-betautgavene av Windows 7 skal være berørt.

Men Microsoft skriver at sårbarheten ikke regnes som like alvorlig i Windows Vista og Windows Server 2008 som i de eldre versjonene fordi den sårbare kodestien kun er tilgjengelig for autentiserte brukere.

I de eldre Windows-versjonen kan angriperen derimot utnytte sårbarheten uten autentisering. Vellykket utnyttelse åpner for fjernkjøring av vilkårlig kode, noe som vil kunne gir angriperen full tilgang til systemet, inkludert å endre eller slette filer eller å opprette nye brukerkontoer med fulle rettigheter.

Det er også mulig at denne sårbarheten kan brukes til å lage en orm.

Microsoft skriver at en brannmur kan bidra til å beskytte nettverksressurser fra å bli angrepet fra utsiden av det lokale nettverket. Spesielt må TCP-portene 139 og 445 være blokkert i brannmuren. Disse portene er ofte åpne i lokale nettverk, men som oftest stengt mot Internett. Portene benyttes normalt til blant annet fil- og skriverdeling.

Ifølge Telenor Sikkerhetssenter er det blitt publisert kode som fungerer som konseptbevis på hvordan man kan utnytte sårbarheten. Den skal være offentlig tilgjengelig på milw0rm, noe som betyr at hvem som helst nå har mulighet til å utnytte svakheten.

Selve sårbarheten skyldes en feil i Server Service-komponenten ved behandling av RPC-forespørsler (Remote Procedure Call ). RPC er en protokoll som et program kan bruke til å be om en tjeneste fra et program som finnes på en annen datamaskin i et nettverk.

Installering av sikkerhetsfiksen krever normalt omstart av Windows.

Mer informasjon om sårbarheten og sikkerhetsfiksen finnes på denne siden og hos sikkerhetsselskapets Secunia.

    Les også:

Til toppen