Korporacija „Microsoft“ išplatino pataisą itin didelės svarbos saugumo spragai, žiojėjusiai ne kur kitur, o apsaugos nuo išorinių grėsmių variklyje, kuris naudojamas visose modernesnėse „Windows“ versijose (7, 8, 8.1, 10, „Server 2016“), rašo „Ars Technica“.

Įdomu tai, kad „Windows Defender“ (pagal nutylėjimą diegiamo „Windows“ priedo) spraga užtaisyta praėjus vos trims paroms nuo tada, kai „Microsoft“ buvo informuoti apie šią spragą.

Spraga, oficialiai pavadinta CVE-2017-0290, programišiams suteikia galimybę per atstumą perimti kompiuterio valdymą be jokių aktyvių kompiuterio savininko veiksmų: tereikia atakuojamam asmeniui nusiųsti elektroninį laišką ar greitąją žinutę ir kad šią informaciją gavimo metu patikrintų „Windows Defender“. Nors atakai iš esmės galima panaudoti bet kokią informaciją, kurią tikrina „Windows Defender“ – ir interneto svetaines, ir persiunčiamus failus.

Vienas iš kibernetinės erdvės saugumu besirūpinančio projekto „Google Project Zero“ specialistas Tavisas Ormandy, atradęs šią spragą, įspėjo, kad pro šią spragą gali lįsti ir „kirminai“ – virusai, kurie gali sukelti kibernetinių atakų grandinę pasidaugindami kiekviename įveiktame kompiuteryje ir išplisdami visais pasiekiamais kontaktais.

Itin operatyvi „Microsoft“ reakcija buvo įspūdinga. Pirmoji vieša informacija apie kritinės reikšmės spragą penktadienio vakarą buvo paskelbta iš T.Ormandy „Twitter“ paskyros – jis tai pavadino „pačia rimčiausia „Windows“ nuotolinio užvaldymo spraga pastaraisiais laikais“ ir įspėjo, kad puolamasis kompiuteris būna pažeidžiamas, jeigu jame sistema įdiegiama laikantis standartinių rekomendacijų. Jau pirmadienio vakarą „Microsoft“ pradėjo pataisos platinimą.

Kadangi su „Windows Defender“ susijęs procesas MsMpEng veikia pačiu aukščiausiu privilegijų lygiu ir yra naudojamas didelėje dalyje „Windows“ kompiuterių, ši spraga yra potencialiai labai pavojinga. Laimei, saugumo ekspertai, kurią šią spragą atrado, operacinės sistemos kūrėjus apie ją įspėjo atsakingai, tad „Microsoft“ jau išplatino pataisą šiai spragai užtaisyti. MsMpEng automatiškai atsinaujina internetu kas 48 valandas, todėl nuo nelaimės (tikriausiai) apsisaugota. Saugumo ataskaitoje pažymima, kad „Microsoft“ neužfiksavo naudojimosi šia saugumo spraga faktų.

Spragą aptikę „Google“ saugumo specialistai nustatė, kad MsMpEng sudėtyje yra komponentas, pavadintas NScript – jis analizuoja bet kokią į „JavaScript“ panašią veiklą failų sistemoje ar tinkle. Nscript atliekami patikrinimai nėra izoliuoti nuo visos sistemos, šis komponentas, kaip ir visas MsMpEng procesas, veikia aukščiausiu privilegijų lygiu ir tikrina nepatikimą programinį kodą praktiškai visose šiuolaikiškose „Windows“ sistemose.

Ir, kaip bebūtų keista, NScript galima išnaudoti vos keliomis „JavaScript“ kodo eilutėmis, kurias galima įkišti bet kur – interneto svetainėje, elektroniniame laiške ar bet kokiame sugalvotame kibernetinės atakos vektoriuje. Tai viena iš didžiausių apsaugos nuo piktybinės programinės įrangos problemų: bandant nuo virusų visapusiškai apsaugoti kompiuterį, apsaugos programa pati gali tapti taikiniu.

Spragą aprašę mokslininkai į aprašymą pridėjo ir spragos egzistavimo patikrinimo būdą – nedidelio žalingumo kodą, kurį atsisiuntus į kompiuterį be pataisų jis „nulauš“ MsMpEng veikimą ir galimai visą kompiuterį. Dėl to tyrėjai įspėja šiuo kodu su kolegomis dalintis tik laikantis labai griežtų atsakomybės principų.

Tuo tarpu „Microsoft“ tikina, kad „Windows 10“ ir „Windows 8.1“ sistemose rizika aktyvuoti piktybinį kodą yra mažesnė, nes šiose sistemose taip pat gali veikti saugumo priemonė CFG – ji apsaugo kompiuterį nuo atminties turinio sugadinimo. CFG yra „Visual Studio 2015“ komponentas.

Norėdami pasitikrinti, ar jūsų kompiuteris jau atnaujintas ir apsaugotas, keliaukite į „Windows Defender“ nustatymus ir pasižiūrėkite, ar šios programos versijos numeris yra 1.1.13704.0 arba didesnis. Jeigu taip – kol kas galite nusiraminti, atsipūsti ir palaukti, kol bus surasta nauja spraga.

Komentarai (4)