Újabb támadó kód bukkant fel

A kóddal a távoli támadó puffer túlfolyást tud előidézni a Local Security Subsystem Service (LSASS) helyi azonosító alrendszerben, állítja a k-otik.comon közzétett üzenet. A Microsoft április 13-án már orvosolta az SSL problémát javítóprogramjában. A K-Otik szerint a kód szombaton jelent meg, de szerzője szerint még módosítani kell, hogy Wndows gépeket lehessen vele távolról támadni.

Az LSASS-t a felhasználó helyi azonosításához használják, ill. kliens-kiszolgáló környezetekben. De bizonyos elemeit az Active Directory segédprogramjai is használják. A sebezhetőséget kihasználni tudó támadó át tudja venni a totális ellenőrzést a Win2000 és XP rendszerek fölött. A SANS Intézet Internet Storm Centerének (ISC) főtechnológusa, Johannes Ullrich arra figyelmeztet, hogy ellentétben az e-mail férgekkel és a vírusokkal az LSASS elárasztásának elindításához nincs szükség felhasználói interakcióra. Se az ISC, se az Internet Security Systems (ISS) nem tud olyan esetről, amikor az új kódot bevetették volna, és nem is jelent közvetlen veszélyt, mivel jelenlegi formájában megbízhatatlan, mondja Neel Mehta, az ISS kutatómérnöke.

Sajnos nem mondható el ugyanez a múlt héten kikerült kódról, amely az SSL könyvtár sebezhetőségét támadja. Az ISS szerda óta több olyan programot is észlelt, amelyek az eredeti kódra épülnek, ami gyakran annak az előfutára, hogy az exploitot féreghez akarják felhasználni. A sebezhetőség - melyet a Microsoft időközben betapasztott - azért is súlyos, mert az SSL-t a bizalmas vagy kritikus információkat tartalmazó kommunikáció titkosításához használják, ezért a 443-as portot, amelyet az SSL használ és amelyen át az exploit támad, a cégek nem zárhatják le. Ráadásul az SSL kommunikációhoz használt rendszerek frissítésétől is ódzkodnak a rendszergazdák, mert a javítóprogram „összeakadhat” a kritikus fontosságú szolgáltatásokkal is. Az ilyen cégek számára a Microsoft, az ISS és több más cég megkerülő programot tett közzé.