Connect with us

technokrata

Támadás a Windows-frissítéseken keresztül, tűzfalakat megkerülve

Dotkom

Támadás a Windows-frissítéseken keresztül, tűzfalakat megkerülve

A Windows Update hibáját kihasználva lopakodnak be a hackerek. És a nagy kérdés: miért hiábavaló a tűzfal?

A Background Intelligent Transfer Service (BITS) a Microsoft operációs rendszerének azon része, mely a Windows Update-en keresztüli patch-ek beszerzéséért felelős. A BITS a Windows XP-ben mutatkozott be, és megtalálható a Windows Server 2003, illetve a Windows Vista operációs rendszerekben is. Tulajdonképpen egy aszinkron file-transzfer szolgáltatás, amely képes automatikusan szabályozni a frissítések letöltésének sebességét, annak érdekében, hogy a lehető legkevésbé terhelje a hálózat más irányú adatforgalmát, mégis eljussanak a patch-ek a rendszerre.

Elia Florio, a Symantec security response csapatának egyik kutatója a csoport blogján írta nemrég, hogy a HTTP-t támogató és COM API-n keresztül programozható komponens gyakorlatilag bármilyen állomány letöltésére felhasználható – akár ártalmas file-ok is beszerezhetők általa. Néhány trójai program készítő már nekilátott a BITS-lehetőség kiaknázásának, amire a digitális kártevők kódjainak elemzésével jött rá a sárga-fekete vállalat. Ennek révén ugyanis úgy frissíthetik saját magukat az ártalmas programok, hogy ahhoz az operációs rendszer egy összetevőjét használják fel – vagyis megkerülhetővé válik számukra a tűzfalas védelem.

A tavalyi év végén fedezte fel először a Symantec, hogy egy orosz hacker a BITS kínálta biztonsági hiányosságot kihasználni képes trójai programot alkotott. Ezzel nem csak a szoftveres védelmet tudta kijátszani, hanem egyszerűbbé is tehette programjának letöltő mechanizmusát. A Windows komponens ugyanis ingyenes, megbízható, és használatával a támadónak nincsen szüksége saját file-frissítő funkció létrehozására.

Arról azonban nincsen szó, hogy a Microsoft Windows Update szolgáltatása rossz kezekbe került volna. Magában a Windows Update-ben nincsen semmi kockázatos (e tekintetben), vagyis arra nem találtak példát, hogy valaki egy eredeti, microsoftos frissítést képes lett volna a szervereken megváltoztatni, hogy azok már ártalmas kódot tartalmazva jussanak fel a felhasználók millióinak rendszerébe. A sebezhetőség inkább azt bizonyítja, hogy a malware-eket írók is követik a „hagyományos” programozás trendjeit: egyre inkább modulárissá válik az ártalmas szoftverek létrehozása.

Florio szerint (egyelőre) nincsen mód arra, hogy blokkolják a hackerek BITS-en keresztüli aktivitását. „Nem könnyű ellenőrizni, hogy a szolgáltatás mit és mit nem tölthet le.” – mondta a Symantec szakembere – „A BITS felületét át kellene tervezni olyanra, hogy csak magasabb szintű jogosultsággal lehessen hozzáférni, vagy csak azokat a letöltési feladatokat kellene engedélyezni, amelyek megbízható URL-eket tartalmaznak.”



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek