Ranljivosti v UPnP ter animiranem miškinem kazalcu

IBM ISS, ponudnik varnostnih rešitev in storitev za zaščito pred različnimi informacijskimi nevarnostmi, posebej na področju ocenitve ranljivosti ter zaznavanja in preprečevanja vdorov, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o. in oddelek X-Force opozarjata lastnike osebnih računalnikov z operacijskimi sistemi Microsoft na ranljivost znotraj tehnologij Universal Plug And Play (UPnP), ki bo najbolj aktualna v sredi do konca meseca aprila. Privzeta nastavitev UPnP storitve v večini (varnostno osveščenih) podjetij sicer ni taka, da se storitev samodejno požene ob zagonu računalnika, zato ni za pričakovati tako velike škode, kot pri globalnih črvih tipa Zotob.

Vsekakor ni odveč previdnost pri uporabnikih te storitve, med njimi je mnogo takih z domačimi omrežji, nekateri najpogosteje doma rabljeni programi namreč uporabljajo UPnP za dinamično spreminjanje nastavitev v npr. brezžičnih usmerjevalnikih (recimo odpiranje in zapiranje vrat za p2P programe). Napad preko te pomanjkljivosti bi lahko bil izpeljan s posebej prirejenim paketom HTTP podatkov, ki bi povzročil prelivanje medpomnilnika (buffer overflow) in posledično izvajanje neavtorizirane kode skrite znotraj paketa podatkov in prevzem nadzora nad napadenim računalnikom. ISS opozarja vse stranke in partnerje naj čimprej naložijo ustrezen popravek, čeprav so uporabniki ISS izdelkov že vnaprej zaščiteni pred vsemi morebitnimi napadi, ki bi poskušali izkoristiti to pomanjkljivost.

Hkrati so nas z ISS še obvestil, da so uporabniki njihovih izdelkov že od januarja 2005 varni pred napadi z izkoriščanjem pomanjkljivosti v delih operacijskega sistema Windows, ki skrbijo za upravljanje animiranih miškinih kazalcev. V mesecih februarju in marcu se je namreč pojavilo več napadov, ki so izkoriščali to pomanjkljivost še preden so v Microsoftu uspeli izdati popravek. Napadalec je poskušal s pomočjo socialnega inženiringa preko spletne strani ali elektronske pošte prepričati žrtev, da je odprla datoteko s končnico .ani (animated cursor). Odpiranje te datoteke je povzročilo zmedo v pomnilniku, nakar se je sprožila škodljiva koda prikrita v datoteki, pognala pa se je s pravicami uporabnika, ki je odprl datoteko. Več podatkov in popravke za vse omenjene pomanjkljivosti lahko najdete na Microsoftovih spletnih straneh – http:/www.microsoft.com/technet/security/current.aspx.