Megerősítette a Microsoft azt a sebezhetőséget, amelyet két nappal ezelőtt tettek közzé egy levelezési listán. A biztonsági rés a 32 bites Windowsok virtuális DOS-mód kezelésében rejlik, amelyet kihasználva a támadó kód kernelmódban tetszőleges manipulációt végezhet a rendszeren.

Az Internet Explorernek szánt soronkívüli patch mai érkezésének bejelentése mellett tegnap a Microsoft hivatalosan is megerősítette, hogy 32 bites Windows rendszerei mind támadhatóak a nyilvánosságra került sebezhetőségen keresztül, amely a virtuális DOS gépében húzódik meg - a Server Core telepítésekben is. A 64 bites rendszereket, tehát az x64 és Itanium platformokat nem érinti a probléma.

A problémát az okozza, hogy az NTVDM bizonyos kivételeket rosszul kezel, így az NTVDM-en keresztül kernelmódhoz juthat és megemelheti a kód jogosultsági szintjét. Ezt követően a támadó programokat telepíthet és futtathat, vagy tetszőleges adatokhoz férhet hozzá a rendszeren, vagy törölhet. A teljes közzététel, egy példakóddal egyetemben megtalálható a Full Disclosure levelezési listán. A felfedező állítása szerint már 2009 júniusában értesítette a Microsoftot a sebezhetőségről, amely néhány nap múlva jelezte, hogy megkapta a levelet. Ez már a sokadik alkalom, hogy a Microsoft régóta ismert hibát nem javít.

A támadás feltételezi a felhasználói szintű hozzáférést a rendszerhez, így leginkább olyan környezetben jelent kockázatot, ahol sokan hozzáférhetnek egy-egy számítógéphez, ugyanakkor fontos a jogaik korlátozása a rendszer és az adatok védelme érdekében. Egy másik kézenfekvő forgatókönyv, amikor a célgépre a felhasználó naivitását felhasználva juttatjuk be emailen vagy egy linken keresztül a támadó kódot, és rávesszük, hogy futtassa le. A kód bizonyítottan működik XP, Server 2003, Vista, Server 2008 és 7 alatt is.

Amennyiben nincs olyan alkalmazásunk, amely igényelné ezt, úgy érdemes lehet az NVDM-et kikapcsolni. Ezt Active Directoryn keresztül vagy gépenként a csoport házirend szerkesztővel, a gpedit.msc futtatásával tudjuk megtenni (video alább), vagy szerkeszteni kell a regisztrációs adatbázist, mégpedig a [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\] útvonalon létre kell hozni egy új kulcsot "AppCompat" néven, amelybe el kell helyezni egy "VDMDisallowed" duplaszót, "1" értékkel.

A videón látható beállítást a "Felhasználó konfigurációban" is érdemes átállítani! (elvileg magától kéne)

A Windows Virtual Dos Machine (NTVDM) több mint másfél évtizeddel ezelőtt bukkant elő a Microsoft konyhájáról, hogy a teljesen új, 32 bites kernellel rendelkező NT rendszere is képes legyen 16 bites DOS programokat futtatni. Az NTVDM azóta is része a 32 bites Windowsoknak, így a Windows 7 is tartalmazza.

Hír

Internet Explorer hiba - Slamasztikában a Microsoft
(2010. január 22.)

A kritikus veszélyességű Aurora támadást elhárító MS10-002 javítófolt tegnapi megjelenésével egyidejűleg nyilvánossá vált, hogy a Microsoft már az ősz óta tudott a termékeiben található biztonsági hibáról - a foltozást mégis hónapokig halasztották.

Az Internet Explorer webböngésző eddigi talán legsúlyosabb sebezhetőségét Meron Sellen, a BugSec cég kutatója fedezte fel és a hibáról még 2009. szeptemberében bejelentést tett a szoftveróriásnál. Jerry Bryant projektmenedzser szerint a Microsoft laborjának vizsgálata is megerősítette a probléma súlyosságát, a foltozást azonban csak 2010. februárban, összefoglaló IE-javítás keretében tervezték kibocsátani.

(forrás: hwsw.hu, kiegészítés tőlem és a virushirado.hu-tól)