TrendMicro: a Badlock sebezhetőség szinte minden vállalatot érint

Henger Attila, 2016. április 29. 09:13

A Trend Micro Incorporated szakértői a rendkívül széles kört érintő Badlock sebezhetőség veszélyeire hívják fel a figyelmet. A körülbelül egy hónappal ezelőtt azonosított, Windows számítógépeket és Samba szervereket érintő hibát ugyan csak komoly előkészületek mellett tudnák kihasználni a potenciális támadók, mégis biztonsági kockázatot jelent szinte minden szervezet számára. 

A Trend Micro Incorporated szakértői a rendkívül széles kört érintő Badlock sebezhetőség veszélyeire hívják fel a figyelmet. A körülbelül egy hónappal ezelőtt azonosított, Windows számítógépeket és Samba szervereket érintő hibát ugyan csak komoly előkészületek mellett tudnák kihasználni a potenciális támadók, mégis biztonsági kockázatot jelent szinte minden szervezet számára. 

 

„A sebezhetőség gyakorlatilag minden vállalatot érint világszerte, ez alól a hazai szervezetek sem kivételek, hiszen ez a biztonsági rés minden manapság használt Windows verzióban és a Samba implementációkban is megtalálható. Bár a sebezhetőséget egyelőre nem tudják egyszerűen kihasználni a kiberbűnözők, ehhez komplexebb felkészülésre lenne szükség részükről, a biztonsági résben rejlő kockázat miatt azonban mindenképpen ajánljuk az érintett rendszerek mielőbbi frissítését a vállalatok számára” – mutatott rá Gömbös Attila, a Trend Micro rendszermérnöke.



Nagy felület, kis valószínűség

A hiba minden Windows-számítógépet (beleértve a Windows 2003, Windows 2000 és Windows XP rendszerű gépeket) és Samba-szervert érint, ezért a támadási felület rendkívül nagynak számít. A Badlock felfedezői és a Microsoft szakemberei szerint egyelőre nem érkezett arról bejelentés, hogy kihasználták volna a sebezhetőséget, azonban hamarosan várhatóak ilyen támadások.

 

A Badlockot a Microsoft nem a Kritikus, csupán a Fontos sebezhetőségek közé sorolta, a kihasználhatósági indexe pedig 3, ami azt jelenti, hogy a biztonsági rés kihasználását nem tartja valószínűnek a szoftvergyártó. A Microsoft közleménye szerint a hiba „abban a folyamatban jelentkezik, amely során a SAM és LSAD távoli protokollok létrehozzák a távoli eljáráshívási (RPC) csatornát.” A Samba állásfoglalása szerint „egy közbeékelődéses támadással hozzáférhető a kliens és a szerver közötti DCERPC-forgalom, így a támadó kiadhatja magát a kliensnek, és megszerezheti ugyanazokat a jogosultságokat, mint amelyekkel a már hitelesített felhasználói fiók is rendelkezik. Ez az Active Directory-tartományvezérlők esetében jelenti a legnagyobb problémát.”

 

Tehát ahhoz, hogy egy támadó kihasználhassa a biztonsági rést, először véghez kell vinnie egy közbeékelődéses (man-in-the-middle) támadást. Ehhez viszonylag jól kell ismernie a célpont hálózatát, és ez jóval nehezebb, mint letölteni az internetről már kész kiaknázási eszközöket, és azok segítségével elindítani egy támadást. Ráadásul a sikeres támadás után a hackernek még kiemelt jogosultságokra is szert kellene tennie ahhoz, hogy hozzáférhessen a SAM adatbázishoz, mivel csak így tudná feltörni a rendszerben használt jelszavakat a teljes kipróbálás (brute force) módszerével.



Védelem virtuális hibajavítással

„A sebezhetőséget a vállalatok értelemszerűen a hibajavítások telepítésével orvosolhatják. Azonban a patcheket vállalati környezetben nem lehet azonnal telepíteni, hiszen azt egy tesztelési időszak kell, hogy megelőzze , illetve az üzletfolytonosság fenntartása érdekében a kiszolgáló rendszereket csak előre kijelölt karbantartási időszakban lehet frissíteni. Ezzel szemben azonnal megszüntethető a rés a Trend Micro virtuális patching megoldásával, amely szoftver telepítése nélkül képes elfedni a sebezhetőséget, és blokkolni a kihasználására irányuló próbálkozásokat” – foglalta össze Gömbös Attila.