Biztonsági rés a Microsoft biztonsági termékén

Tóth Kristóf, 2001. április 22. 08:47

A héten a Microsoft elismerte, hogy az Internet Security and Acceleration (ISA) szerverének 1.0-ás verziójában olyan hiányosságot fedeztek fel, amelyet kihasználva denial-of-service típusú behatolásokat lehet véghezvinni, a termék használóit ezzel arra kényszerítve, hogy mindaddig offline módban dolgozzanak, ameddig a szervert újra nem indítják. Az ISA szolgáltatásai között megtalálható a firewall, különböző privát szolgáltatások, illetve tartalmaz egy webcache-t is.

A torontoi SecureXpert Labs egyik vezetőjének elmondása szerint ez a bug 3 különböző típusú behatolást tesz lehetővé. Ha a Web publishing-nak nevezett webserver szolgáltatások aktívak, akkor egy megfelelő karaktersorozatot küldve a hacker teljesen le tudja állítani a szolgáltató számítógépet, és ráadásul ez egy olyan egyszerű beavatkozás, amit bárki véghez tud vinni egy modem segítségével. Ez két problémát okozhat a felhasználóknak: a támadott gép által szolgáltatott oldalak lekerülnek a netről, illetve akik a firewall mögül használják a hálózatot a szerver újraindításáig nem tudják a webet használni. A vállalaton belülről ugyanilyen módon le lehet állítani az ISA-t, tekintet nélkül arra, hogy az előbb említett szolgáltatások be vannak e kapcsolva vagy sem. Végül a harmadik lehetőség, ha valaki HTML e-mailt küld, amely tartalmaz egy bizonyos szöveget, és mindezt a cégen belül, a tűzfal kihasználásával teszi, az szintén leálláshoz vezet. A modern levelezőprogramokkal küldött elektronikus levelek pedig gyakran tartalmaznak HTML-t.

Richard Reiner és társai, akik fölfedezték a dolgot, a CNN-nek elmondták, hogy a telepítéstől számított 15 percen belül megtalálták a rést, mikor a SecureXpert Labs-nál tesztelték az ISA-t, Reinert idézve: "ez a gyenge pont abszolút szembeötlő volt, nem valami bonyolult, apró dolog." A szoftveróriás, amikor február elején bejelentette termékét azt mondta, hogy az ISA a cég első biztonsági terméke. Habár a Microsoftnak tényleg ez a debütációja a számítógépes biztonság területén, sok jó hírnevű partnerrel dolgoztak, és ezért nem lett volna szabad, hogy egy ilyen bug keresztüljusson, tette hozzá. "Erre nincs mentség."

A felfedezést április 2-án közölték a redmondi céggel, az pedig most hétfőn továbbította azt a BugTraq nevü, biztonsági témákkal foglalkozó levelező listára, és mostanra weboldalukról letölthető egy javítás, amely kiküszöböli a gondot. Reiner elmondta, hogy az a két hét, ami az értesítéstől a válaszlépésig eltelt nem túl nagy idő. Egyesek sokkal később, akár több mint egy hónapig javítják a hibákat.

A Microsoft eddig nem kommentálta az eseményeket.