Hacker fant smutthull i Microsofts branndør

En hacker hevder han har brukt en svakhet i Windows 2000 til å bryte Microsofts brannmur. Det ble advart mot den åpne port 445 lenge før Windows 2000 ble lansert.

En hacker som kaller seg selv "Benign" ("godartet") har henvendt seg til Newsbytes med dokumentasjon fra et seks dager langt datainnbrudd mot Microsoft. Innbruddet ble innledet 12. august.

Benign har brukt en svakhet som sikkerhetsfolk har advart mot helt siden Windows 2000 var ute til betatesting høsten 1999. Svakheten er en følge av en ny metode som ble innført i Windows 2000 for å forenkle deling av filer over Internett. (Se Microsofts forklaringer på siden Direct Hosting of SMB Over TCP/IP.) Denne egenskapen krever at port 445 står åpent, noe Windows 2000 velger i utgangspunktet. Dersom fildeling dessuten ikke er beskyttet av noe passord, er det fritt fram for teknisk kyndige utenforstående som oppdager forholdene, å bruke maskinen som springbrett til øvrige tjenester i nettverket som offeret tilhører.
Windows 2000 kom nylig i søkelyset for et annet sikkerhetshull: Minnelekkasje i Windows 2000 åpner for DoS-angrep

Benign brukte en portscanner for å oppdage to maskiner i utkanten av Microsofts nettverk der port 445 var åpen og der fildeling ikke var beskyttet av noe passord. Disse maskinene hadde dessuten den uheldige egenskapen at de i tillegg til å være åpne mot Internett, også var koplet til et intranett innenfor Microsofts ellers svært tette brannvegg.

Hackeren forsikrer overfor Newsbytes at han opererte alene, og at han avholdt seg fra enhver ødeleggende virksomhet. Han hevder ikke en gang å ha sett på filer som innbruddet skaffet ham tilgang til.

Som dokumentasjon på innbruddet, fikk Newsbytes overlevert en liste på over 400 interne Microsoft-maskiner som Benign gikk videre til etter å ha funnet fram til de to åpne maskinene. Dokumentasjonen besto av IP-adresse, navn, arbeidsgruppe, brukernavn og passord for hver maskin.

En uavhengig sikkerhetsekspert som Newsbytes har henvendt seg til, bekrefter at materialet og metoden er troverdige.

Microsoft har nektet å kommentere selve innbruddet, men avviser at det dreier seg om en "skavank" ("flaw") i Windows 2000. Microsoft anbefaler at man velger et sterkt passord for å beskytte fildeling. Men systemet krever ikke at egenskapen skal passordbeskyttes. Mange brukere tenker antakelig at siden de ikke akter å dele filer - og siden standardinnstillingen i andre Windows-varianter er at fildeling er slått av - trenger man heller ikke noe passord.

I Windows XP stenges fildelingen dersom det ikke oppgis et passord til egenskapen.

Den mest utbredte måten å angripe Windows-systemer på, er via port 139. Statistikk samlet av DShield.org, et åpent nettverk av driftsfolk som samarbeider for å beskytte seg mot datasnoking og innbrudd, viser at de siste ni dagene, det vil si etter at Benign avsluttet sitt innbrudd hos Microsoft, er port 445 scannet 113 ganger, mens port 139 er scannet 22.831 ganger. For de øvrige dagene i august viser statistikken 39.065 forsøk mot port 445, og 65.813 mot port 139. Det tyder på at Benign fram til 19. august var praktisk talt alene om å prøve seg på port 445.

Benign sier til Newsbytes at han oppdaget flere titusener Windows 2000 systemer utenfor Microsoft med åpen port 445, og av disse var flere tusen uten passordbeskyttelse. (Merk at DShield-statistikken bare gjelder innrapporterte tilfeller.)

Sikkerhetseksperter sier til Newsbytes at de undrer seg over at ikke flere hackere har prøvd seg på port 445. Windows 2000-brukere - både klienter og servere - anbefales å sjekke fildeling og passord før snokene kommer ajour.

Til toppen