Новый эксплоит для уязвимости в протоколе SMB 2
Экспертами по безопасности на всеобщее обозрение выставлен новый код для атаки на операционные системы Windows, использующий уязвимость, известную с 7 сентября 2009 года, но до сих пор закрытую от публичного доступа. Код атаки стал доступен в последней версии пакета Metasploit, используемого для проверки уязвимости систем. По данным специалистов пока не обнаружено ни одного вредоносного ПО, использующего данную уязвимость для заражения компьютеров и дальнейшего распространения.
Первый вариант кода для эксплуатации уязвимости был разработан компанией Immunity две недели назад. Доступ к этому коду имели только клиенты компании с платной подпиской. Новый вариант кода разработал специалист компании Harmony Security Стивен Фьюер. Как заявляют разработчики, атака позволяет без авторизации выполнить на целевом компьютере произвольную программу. В теории, эта атака может принести серьезные неприятности, предоставляя обширные возможности злоумышленникам.
Стоит отметить, что данная уязвимость связана с реализацией протокола Server Message Block версии 2 в ОС Windows 2008 Server с пакетами обновлений SP1 и SP2, а также Windows Vista с пакетами обновлений SP1 и SP2. Этот протокол используется для передачи информации в локальных сетях. По словам Кости Корчинского, старшего исследователя компании Immunity, реализация атаки из новой версии Metasploit в основном работает на виртуальных машинах, в связи с тем, что на физических машинах система чаще всего просто прекращает работу. Но несмотря на это, по словам разработчиков Metasploit, на некоторых физических машинах атака определенно работает.
Тем не менее, открытие доступа к коду новой атаки должно стать серьезным сигналом для пользователей уязвимых версий Windows. Вполне возможно, что этот алгоритм атаки найдет воплощение в реальных вирусах. Кроме того, эта атака представляет опасность для систем Windows 2000, Windows XP и Windows Server 2003, где реализован старый вариант протокола SMB. По заявлению Корчинского, в новой Windows 7 данная уязвимость в протоколе SMB 2 полностью устранена.
Представители компании Microsoft подтверждают наличие уязвимости. Атака Immunity работает в 32-битных версиях Windows Server 2008 и Vista, но по коду Metasploit пока не имеется никаких комментариев. Напоминаем, что 18 сентября компанией Microsoft была выпущена утилита из серии Fix It, полностью отключающая SMB 2 на уязвимых системах. Полноценные исправления выйдут позже, в рамках планового обновления, которое намечено на 13 октября этого года.