Windows-hyökkäyskoodi, mutta ei käytössä

Viikon kuluttua hakkerit julkaisivat ohjelmiston, jolla voitaisiin hyökätä Windows Vista ja Server 2008: ssa, mutta Microsoft ja tietoturva-alan yritykset sanovat, että rikolliset eivät ole tehneet paljon hyökkäyksestä.

Microsoft ilmoitti, että se ei ole nähnyt mitään hyökkäyksiä, jotka käyttävät haavoittuvuutta, analysointia, jota tietoturvayritykset, kuten SecureWorks, Symantec ja Verisignin iDefense-yksikkö toivat.

Vaikka rikolliset hyppäsi samanlaiseen virheeseen vuosi sitten, käytti sitä laajassa käytössä jotka viime kädessä pakottivat Microsoftin kiirehtämään tietoturvakorjauksen ennen kuukausittaisia ​​tietoturvapäivitystään, joka ei ole tapahtunut tämän viimeisimmän bugin kanssa, joka on Vista ja Server 2008: n käyttämissä SMB v2 -ohjelmissa tiedostojen ja tulostimien suorittamiseen jakaminen.

[Lue lisää: Kuinka t o poista haittaohjelmat Windows-tietokoneeltasi]

SecureWorks-tutkija Bow Sineath sanoi tiistaina, että tätä viimeisintä hyökkäystä ei ole poimittu useista syistä. Ehkä tärkein syy on se, että Metasploit-koodi ei toimi yhtä luotettavasti kuin viime vuoden MS08-067-hyökkäys ja usein aiheuttaa tietokoneen kaatumisen hakkeriohjelmiston sijaan.

SMB v2 on tyypillisesti estetty palomuurissa, eikä se lähetä Windows XP: n kautta, mikä tarkoittaa, että Metasploitin hyökkäys ei toimi suurimmalla osalla tietokoneista. Vista, ainoa Windows-asiakas, joka on alttiina hyökkäykselle, käytetään noin 19 prosentilla tietokoneista, jotka surffailevat Webissä, Net Applications -Web analytics -yrityksen mukaan. Windows XP toimii 72 prosentilla tietokoneista.

Kaikkien näiden tekijöiden vuoksi SMB v2 -vika ei yksinkertaisesti ole "kaikkea suosittu kohde", Sineath sanoi.

Viime viikolla Dave Aitel, toimitusjohtaja työkalun myyjä Immunity, ennusti, että Microsoft ei tarvitse korjata bugia ennen aikataulun 13. lokakuuta tietoturvakorjauspäivämäärää.

Metasploit-hyökkäys tekee tiettyjä oletuksia tietokoneen muistista, joka sallii sen toimivan tietyissä laitteistokokoonpanoissa, mutta monet tilanteet, se ei yksinkertaisesti toimi, Aitel sanoi.

"Pyysin Immunity-tiimiä katsomaan uutta hyödyntämistä arvioidakseen, korjaako Microsoft SMB v2 -virhe varhaisessa vaiheessa, ja alustava arvioimme" Ei, he eivät ", hän kirjoitti keskusteluluettelossa viime tiistaina. "Tämän ongelman ratkaiseminen nykyisessä julkisessa hyödyntämisessä on todennäköisesti kaksi viikkoa töitä. Tuohon aikaan olemme lähellä Microsoftin tiistaina ja tarve saada out-of-band-laastari on kiistanalainen."

Metasploitin tiimi on edelleen mutta sen hyökkäys on kuitenkin käynnissä. Sunnuntaina Metasploit kertoi yksityiskohtia uudesta tapaa käyttää vikaa ja sanoi, että se työskenteli moduulissa, joka hyödyntää tätä ns. Trampoliinimenetelmää.

Jos trampoliinimenetelmä toimii ja tekee Metasploitin hyökkäyksestä luotettavammiksi, rikolliset ovat todennäköisesti alkaneet käyttää sitä, SecureWorks sanoi.