Microsoft upozorava na napade na novu ranjivost u Windows XP i Windows Server 2003

Vesti, 29.11.2013, 08:05 AM

Microsoft je upozorio na novu, 0-day ranjivost u Windows XP i Windows Server 2003 koja napadačima omogućava izvršenje koda sa većim privilegijama od onih koje već imaju na sistemu.

Ranjivost se već koristi u hakerskim napadima, ali na pitanja kako, gde i ko koristi ovu ranjivosti i kakvi su efekti napada još uvek nema odgovora. Brojne nepoznanice otežavaju efikasnu odbranu ali stručnjaci su ipak došli do nekih odgovora.

Ranjivost je u NDProxy.syd drajveru koji koordiniše funkcionisanjem Microsoft-ovih TAPI (Telephony Application Programming Interfaces) servisa.

„Napadač koji uspešno iskoristi ovu ranjivost može pokrenuti proizvoljan kod u kernel modu“, kažu iz Microsoft-a. „Napadač tada može da instalira programe; pregleda, menja ili briše podatke; ili da kreira nove naloge sa pravima administratora.“ Drugim rečima, napadač može postati administrator administratoru.

Reč je o EoP (elevation-of-privilege) ranjivosti, a ne o daljinskom izvršenju koda, što znači da napadač već mora da ima pristup nalogu sa manjim privilegijama na sistemu da bi iskoristio ovu ranjivost. Napadači ne mogu sa daljine direktno iskoristiti EoP ranjivosti, ali mogu kombinovati EoP sa konvencionalnim exploit-om, na primer, u drive-by download napadima na browser ili drugi softver koji prikazuje sadržaj.

Dodavanje EoP drive-by napadu znači da napad nije više limitiran privilegijama korisnika browser-a, PDF čitača ili Flash plejera koji je napadnut.

EoP ranjivost se koristi u napadima zajedno sa exploit-om za starije verzije Adobe Reader-a (Adobe Reader 9.5.4, 10.1.6, 11.0.02 i starije) koji cilja na ranjivost daljinskog izvršenja koda u koja je zakrpljena u maju, kažu iz kompanije FireEye. Exploiti ciljaju na računare sa Adobe Reader-om na Windows XP Service Pack 3, ali korisnici koji koriste novije verzije Adobe Reader-a trebalo bi da budu zaštićeni.

Prema podacima Microsoft-a, ranjivost se koristi u „ograničenim, ciljanim napadima“, ali dobra vest je da ona ne utiče na novije verzije Windows-a, već samo na Winodws XP i Windows Server 2003.

Kompanija je ponudila privremeno rešenje koje podrazumeva da se spreči učitavanje NDProxy.sys, ali to bi moglo da prouzrokuje da određeni servisi, kao što je Remote Access Service (RAT), dial-up i VPN neće više raditi.

Microsoft se zahvalio kompaniji FireEye za pomoć u vezi ove ranjivosti, koji nosi oznaku CVE-2013-5065.

Exploit se koristi u ciljanim napadima, ali stručnjaci još uvek pokušavaju da otkriju metod distribucije i identitet meta. Exploit instalira malver koji komunicira sa nekoliko hakovanih web sajtova. Čemu služi malver za sada još uvek nije poznato.

S obzirom da se napadi u kojima se koristi ova ranjivost oslanjaju na bag u Adobe Reader-u, za koji je dostupna zakrpa, najbolje što možete da uradite je da nadogradite Adobe Reader, ako već niste, i da isto uradite i sa Windows XP koji treba zameniti sa Windows 7 ili najnovijom verzijom operativnog sistema.

Na kraju, oprezno sa PDF fajlovima posebno ako su nepoznatog porekla.