Angriffscode für kritische Microsoft-Bugoberflächen

Nur wenige Stunden nach der Veröffentlichung von Microsoft von einem kritischen Windows-Bug ist ein neuer Angriffscode aufgetaucht, der den Fehler ausnutzt.

Die Entwickler des Immunity-Sicherheitstools benötigten zwei Stunden, um ihren Exploit zu schreiben, nachdem Microsoft am Donnerstagmorgen einen Patch für das Problem veröffentlicht hatte. Von Immunity entwickelte Software wird nur zahlenden Kunden zur Verfügung gestellt, was bedeutet, dass nicht jeder Zugang zu dem neuen Angriff hat, aber Sicherheitsexperten erwarten, dass einige Versionen des Codes sehr bald in der Öffentlichkeit kursieren werden.

Microsoft hat den ungewöhnlichen Schritt gemacht am Donnerstag, zwei Wochen nachdem ich eine kleine Anzahl von gezielten Angriffen bemerkt hatte, die den Bug ausnutzten, einen Notfall-Patch für den Fehler rauszubringen.

Die Sicherheitslücke war vor Donnerstag nicht öffentlich bekannt; Mit dem Patch hat Microsoft Hackern und Sicherheitsforschern genug Informationen gegeben, um ihren eigenen Angriffscode zu entwickeln.

Der Fehler liegt im Windows Server-Dienst, mit dem verschiedene Netzwerkressourcen wie Datei- und Druckserver über ein Netzwerk verbunden werden. Durch das Senden von schädlichen Nachrichten an einen Windows-Computer, der Windows Server verwendet, könnte ein Angreifer die Kontrolle über den Computer übernehmen, sagte Microsoft.

Offensichtlich braucht es nicht viel Aufwand, um diese Art von Angriffscode zu schreiben.

"Es ist sehr ausnutzbar ", sagte Immunality Security Researcher Bas Alberts. "Es ist ein sehr kontrollierbarer Stapelüberlauf."

Stapelüberlauffehler werden verursacht, wenn ein Programmierfehler es dem Angreifer ermöglicht, einen Befehl auf Teile des Computerspeichers zu schreiben, die normalerweise außerhalb der Grenzen liegen und dann diesen Befehl ausführen der Computer des Opfers.

Microsoft hat in den letzten Jahren Millionen von Dollars ausgegeben, um diese Art von Fehlern in seinen Produkten zu beseitigen. Und einer der Architekten von Microsofts Sicherheitstestprogramm hatte am Donnerstag eine offene Einschätzung der Situation und sagte, dass die "fuzzing" -Testwerkzeuge des Unternehmens das Problem früher entdeckt haben sollten. "Unsere Fuzz-Tests haben das nicht verstanden, und sie sollten es haben", schrieb der Sicherheitsprogramm-Manager Michael Howard in einem Blogbeitrag. "Also gehen wir zurück zu unseren fuzzing Algorithmen und Bibliotheken, um sie entsprechend zu aktualisieren. Für was es wert ist, aktualisieren wir ständig unsere Fuzz Testing Heuristiken und Regeln, so dass dieser Fehler nicht einzigartig ist."

Während Microsoft diesen Fehler gewarnt hat könnte verwendet werden, um einen Computerwurm zu bauen, sagte Alberts, dass es unwahrscheinlich ist, dass solch ein Wurm, wenn er geschaffen würde, sich sehr weit ausbreiten würde. Das liegt daran, dass die meisten Netzwerke diese Art von Angriff auf die Firewall blockieren würden.

"Ich sehe nur ein Problem in internen Netzwerken, aber es ist ein sehr wirklicher und ausnutzbarer Fehler", sagte er.