Код, использующий критическую уязвимость, для которой Microsoft выпустила пач на прошлой неделе, вырвался на волю, угрожая владельцам компьютеров атакой в стиле MSBlast.

10 февраля Microsoft выпустила поправку, устраняющую ошибку сетевого ПО, которая делает уязвимыми все системы Windows XP, NT, 2000 и Windows Server 2003. Компания предупредила владельцев ПК, что эта уязвимость может быть использована писателями вирусов и червей. И вот, спустя всего четыре дня после выхода обновления, на французском веб-сайте появился код, позволяющий любому воспользоваться ошибкой. Это означает, что не обновившие свои системы пользователи могут подвергнуться новой атаке червя, подобного MSBlast.

Ричард Штернз, директор по экстренному реагированию компании Cable & Wireless, подтвердил ZDNet UK, что код, похоже, работает. «Мы исполнили скомпилированный код на необновленных системах ХР и Windows 2000 SP3, и обе они вышли из строя. Код вызывает переполнение буфера и немедленно переводит ПК в состояние перезагрузки, из которого невозможно выйти».

По словам Штернза, опубликованный эксплойт легко превратить еще в одну «смешанную атаку» вроде MSBlast или Code Red, когда червь состоит из двух разных модулей, один из которых отвечает за распространение, а другой содержит разрушительный заряд. «Наступила эпоха двухфазных, или двухуровневых, червей. Подавляющее большинство червей, которые мы наблюдали раньше, заботились только о собственном размножении. Теперь же они несут вторую нагрузку, направленную на организацию атаки DDoS».

Джей Хейзер, главный аналитик компании TruSecure, специализирующейся на управлении рисками, сказал ZDNet, что собственно код представляет собой инструмент атаки DDoS и способен нанести ограниченный ущерб, но, ввиду того что он использует переполнение буфера, его применение грозит хаосом: «Атака denial-of-service эквивалентна выпуску воздуха из шины автомобиля. Она раздосадует водителя и может пару раз доставить удовольствие атакующему, тем не менее это не то же самое, что позволить кому-то без спроса кататься на вашем автомобиле. Тот факт, что DoS-атака использует переполнение буфера, значительно повышает вероятность гораздо более изощренной атаки», — говорит Хейзер. Пользователи, по его словам, могут чувствовать себя в безопасности, только если немедленно установят пач.

Однако Штернз говорит, что этот код, если он будет использован для организации атаки, непременно вызовет разрушения, так как и компании, и индивидуальные пользователи, пока эксплойт не грянет, чрезвычайно неохотно обновляют свои системы. «Взять хотя бы Code Red — пач для него вышел за шесть месяцев до появления червя. А что он натворил? Когда дело касается обновления систем, хуже компаний могут быть только индивидуальные пользователи».

Мюнир Котадиа (Munir Kotadia), ZDNet (UK)

17 февраля, 2004, 16:40

ZDNET Россия