Poważny błąd Microsoftu

Każdy system operacyjny Microsoftu narażony jest na ataki przez Internet.

Każdy system operacyjny Microsoftu narażony jest na ataki przez Internet.

Po raz kolejny w dziale Sieci opisujemy problemy wynikające z użytkowania systemów operacyjnych Microsoftu. Niestety, błędy odkrywane są coraz częściej, co może świadczyć o większym wykorzystaniu systemów Microsoftu, a także o rosnącym zainteresowaniu nimi hakerów.

Najnowszy z odkrytych błędów związany jest z niewłaściwą obsługą przez systemy Windows (zarówno wersje 3.x i 95, jak i NT 3.x i 4.0) protokołu TCP/IP, najpopularniejszego dziś protokołu sieciowego, umożliwiającego komunikację w ramach Internetu. Dzięki uniwersalności i dostępności na każdej platformie systemowej, jest on coraz częściej wykorzystywany także jako podstawowy protokół przy budowaniu korporacyjnych sieci intranet. Tym bardziej przeraża myśl, że praktycznie każdy system operacyjny Microsoftu z zainstalowaną obsługą TCP/IP może zostać całkowicie zawieszony przez internetowego "dowcipnisia".

Działanie

Na problem, powodujący zawieszanie systemów Microsoftu, nie są odporne także inne systemy operacyjne. Niemniej większość z nich dawno już została wyposażona w systemowe "łaty", uniemożliwiające hakerom wykorzystanie tej luki.

Problem, nazwany skrótowo OOB (Out of Band), polega na tym, że włamywacz wysyła na dowolny dostępny port komputera z protokołem TCP/IP specjalny pakiet o najwyższym priorytecie (Out of Band). Może to spowodować jego zawieszenie (zależy to od tego, który port będzie zaatakowany i jak bardzo jest on związany z jądrem systemu). Jak wykazuje praktyka, porty nierozerwalnie związane z systemem Windows dają stuprocentową gwarancję powodzenia takiego ataku. W systemach Microsoftu portem takim jest np. port 139 związany z obsługą NetBIOS. Po otrzymaniu pakietu OOB na ten port, system operacyjny kompletnie "wariuje" i zawiesza się.

Luka ta nie umożliwia jednak hakerowi wykradzenia danych z zaatakowanego serwera bądź komputera. Pozwala mu tylko złośliwie go zawiesić. Powstał nawet specjalny program (Winnuke), umożliwiający zawieszanie dowolnych komputerów z systemami Windows.

Tłumaczenie Microsoftu

Najbardziej denerwuje podejście Microsoftu do zagadnienia. Oficjalnie firma tłumaczy (http://www.microsoft.com/ntserver/info/denial.htm), że błąd ten jest znany od dawna i występuje w większości systemów operacyjnych. Według Microsoftu błąd ten nie zagraża bezpieczeństwu danych znajdujących się na komputerach, bo z jego wykorzystaniee nie daje do nich dostępu, a krótkoterminowa przerwa w pracy nie jest kłopotliwa i w prosty sposób można przywrócić stan sprzed zawieszenia, naciskając przycisk Reset komputera bądź serwera.

O ile ostatnie stwierdzenie jest prawdą i rzeczywiście wciśnięcie przycisku Reset jest operacją banalną, to twierdzenie, że bezpieczeństwo danych jest nie zagrożone jest bzdurne. Owszem, nikt danych nie ukradnie, ale co może stać się z danymi rezydującymi na serwerze atakowanym przez jakiegoś "dowcipnisia"? Co będzie ze wszystkimi otwartymi plikami, np. bazami danych, które obsługują w danej chwili jakieś transakcje? W przypadku serwerów, które pracować muszą 24 godziny na dobę, taka luka w systemie jest karygodnym naruszeniem jego bezpieczeństwa i jeżeli Microsoft świadomy był istnienia takiego problemu, powinien był zareagować dużo wcześniej, nie czekając na falę ataków spowodowanych informacjami w Internecie.

Naprawianie błędów

Microsoft udostępnił na serwerze poprawki dla systemów Windows NT 3.51 oraz 4.0, zapominając jednak o użytkownikach innych wersji Windows. Poprawki te znajdują się odpowiednio pod adresamiftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/oobüfix orazftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP2/oob-fix.

Poprawki należy zainstalować wyłącznie na tych komputerach, na których wcześniej zainstalowano zestaw "łat" systemowych Service Pack 5 (w przypadku NT 3.51) lub Service Pack 2 (NT 4.0). Niestety, przynajmniej w serwerach pracujących w naszym wydawnictwie, zainstalowanie poprawki do NT 3.51 nie pomogło - musieliśmy skorzystać z innej metody. Na szczęście istnieje kilka sposobów uniknięcia skutków ataków za pośrednictwem pakietów OOB. Wszystkie opisujemy w ramce.

Ponadto w Internecie dostępne jest oprogramowanie monitorujące, umożliwiające śledzenie aktywności na dowolnym porcie systemowym. Dwa takie programy dla Windows 95/NT znajdują się na stronach pod adresemhttp://home.earthlink.net/~skream/plisten.zip orazftp://ftp.devware.com/nukedet/nukedet.zip.

Skuteczność działania zainstalowanej poprawki można sprawdzić wysyłając pakiet OOB do swojego komputera. W tym celu należy połączyć się ze stroną WWW o adresiehttp://www.yikes.com/nuke/ i kliknąć przycisk, potwierdzający chęć wysłania pakietu OOB.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200