Számítástechnika klub

Számítástechnika klub hírei

Kék halálhoz vezethet a Microsoft javítása - Összeakad a patch egy kártevővel

A Microsoft a múlt héten átmenetileg felfüggesztette az egyik biztonsági hibajavításának publikálását, ugyanis az egyes esetekben kék halálhoz vezetett a Windows XP-t futtató számítógépeken.

Elismerte a Microsoft azokat a fórumokon terjedő híreket, amelyek szerint a múlt heti patch kedden érkezett egyik javítást követően kék halál arat a Windows XP-s gépek között. A cég szerint a problémát azonban nem a frissítés, hanem egy lappangva terjedő rootkit okozza.

A Microsoft a múlt kedden (2010. 02. 09.) egy nagyszabású hibajavítást adott ki. A februári frissítéseiről összesen tizenhárom közleményben számolt be, amelyek közül az MS10-015-ös számú a Windows kerneljében szüntetett meg két biztonsági rést. E sebezhetőségek ráadásul már tizenhét éve jelen voltak az NT-alapú Windows operációs rendszerekben, és még a mai napig - legalábbis a Windows XP esetében - nem akarják "megadni magukat". A hibajavítások telepítése után ugyanis egyre több felhasználó jelezte, hogy valami nagyon nincs rendben, mivel a Windows XP operációs rendszerük kékhalál kíséretében összeomlott, és a számítógép újraindítását sem lehet elvégezni.

Összeakad a patch egy kártevővel

A múlt héten, február 9-én kiadott biztonsági frissítések közül az egyik kék halállal járó rendszerösszeomlást okozott egyes Windows XP gépeken, amelyek ezt követően képtelenek elindulni, még csökkentett módban sem. A Microsoft a fórumokon felbukkanó bejelentések hatására vizsgálatokat kezdeményezett, és az előzetes eredmények alapján úgy tűnik, hogy a frissítés egy rosszindulatú kóddal akad össze, és ez magyarázza az esetek legalábbis nagyobb részét.

Az érintett frissítés az MS10-015 jelölést viseli, és a a 32 bites Windowsokban található virtuális DOS gép, az NTVDM sebezhetőségét orvosolja. A három hete napvilágra került sebezhetőséget az okozza,hogy az NTVDM bizonyos kivételeket rosszul kezel, így a támadó az NTVDM-en keresztül kernelmódhoz juthat és megemelheti a kód jogosultsági szintjét. A támadás feltételezi a felhasználói szintű hozzáférést a rendszerhez. Ez az összetevő nincs a 64 bites telepítésekben, és amennyiben nincs szükségünk 16 bites futtatási lehetőségre, kikapcsolható a 32 bites változatokban is, így nem minden esetben szükséges a frissítés telepítése.

A Microsoft szerint bár az esetek elszigeteltek, a probléma jelentőségét sejteti, hogy a cég csütörtökön, február 11-én fel is függesztette az MS10-015 terjesztését a Windows Update-en keresztül, ugyanakkor a WIndows Server Update és System Management Server disztribúciókban megmaradt, hogy a vállalati felhasználók saját maguk dönthessék el, mihez kezdenek az üggyel.

A Microsofthoz érkező bejelentésekből és az internetes fórumokon található bejegyzésekből a fejlesztők viszonylag hamar leszűrték azt a következtetést, hogy az MS10-015-ös közleményhez tartozó frissítések körül kell keresni a probléma okát. Biztos, ami biztos a cég csütörtökön átmenetileg eltávolította a weboldalairól, illetve az automatikus frissítési funkciók által használt szerverekről a frissítéshez tartozó - Windows XP kompatibilis - állományokat, nehogy azok még nagyobb gondot okozzanak.

Az eddigi vizsgálatok arra engednek következtetni, hogy nem magával a hibajavítással van a probléma. Jerry Bryant, a Microsoft szóvivője szerint nagy valószínűséggel a mostani, kék halállal járó hiba "csak" olyan számítógépeken jelentkezik, amelyek valamilyen kártékony programmal korábban megfertőződtek. A Microsoftnál egyelőre nem találtak más kiváltó okot. A cég hangsúlyozta, hogy még vizsgálja a problémát, és "a hiba a felhasználóknak csak egy korlátozott számát érinti".

Miután kiderült, hogy kártékony kódok is közrejátszhatnak a nemkívánatos eseményekben, a biztonsági cégek is nekiláttak az elemzőmunkának. Többek közötti egyes felhasználói visszajelzésekre alapozva egyre biztosabban jelenthető ki, hogy a kék halál mögött ezúttal egy TDSS nevű rootkit áll, amely az érintett rendszereken az atapi.sys fájlt fertőzte meg. Mivel ezt az állományt is érintette a Microsoft keddi frissítése, ezért a hibajavítások végül nem várt problémát idézhetnek elő.

Egyes internetes fórumokon lehet olvasni néhány lehetséges megoldást arra az esetre is, ha a frissítés már megtörtént, és a számítógép nem indul újra. Ilyenkor a Microsoft frissítésének parancssorból (hibajavító konzolból) történő eltávolítása átmenetileg segíthet.

A TDSS rootkit

A frissítéssel kapcsolatban felmerült hibajelenségekkel foglalkozó szakemberek a felhasználóknak azt javasolják, hogy a frissítések telepítése előtt győződjenek meg arról, hogy a rendszerük nem fertőzött. Amennyiben kiderül, hogy a TDSS jelen van egy PC-n, és a víruskereső nem képes eltávolítani a károkozót, akkor a merevlemez másik gépben történő megtisztítására lehet szükség. Schouwenberg szerint, amennyiben az atapi.sys fájlt el kell távolítani a lemezről, akkor az a Windows telepítőjéről vagy egy másik - hasonló verziójú - Windows XP operációs rendszerről helyreállítható. Amennyiben ezek a lépések nem vezetnek eredményre, akkor a Windows telepítőjéről való javítás lehet a megoldás.

Független biztonsági szakértők szerint azonban egy rootkitről van szó, amely a TDSS (Rootkit.Win32.TDSS) családba tartozik, és a lemezműveleteket kezelő driverbe épül be, mint például az atapi.sys. A fertőzött driver (.sys fájl) lecserélésével jó eséllyel újra bootolhatóvá válik a fertőzött XP rendszer. Ezt a helyreállító konzolon keresztül is megtehetjük a megfelelő parancsok beütésével, amelyet lentebb, kék betűkkel láthatunk.

Helyreállítás

cd c:\windows\system32\drivers

ren atapi.sys atapi.old

expand [CD drive]:\i386\atapi.sy_ c:\windows\system32\drivers\atapi.sys

A Kaspersky dedikált TDSS-eltávolítóval is rendelkezik, amely képes kiirtani a rendszerből a rootkitet. Roel Schouwenberg, a cég egyik víruskutatója elmondta, hogy a TDSS nagyon kifinomult technikák segítségével képes elrejteni a saját kódjait a számítógépeken, ezért az antivírus alkalmazásoknak sincs könnyű dolguk, hogy felismerjék azt.

A TDSS a driver első 824 bájtját átírva lép működése. Ennek során nem változik meg a fájl mérete, így a rootkitek után kutató szoftverek ez alapján nem veszik észre a változást. A driverbe épülve a rootkit szűri az I/O műveleteit, így védeni tudja magát és a kívánt fájlokat bármilyen kiolvasás elől. Ezt az alapot felhasználva az I/O-manipulációval saját binárisokat injektál azokba a folyamatokba, amelyek meghívják a kernel32.dll-t, és azok felhasználói szinten futnak. Ez a lehetőség a Vista és 7 platformokat is érinti.

A rootkitek olyan programok, amelyek az operációs rendszer alacsony szintű mechanizmusaiba, rendszer API-jaiba épülnek be, és elrejtik magukat nemcsak a felhasználó, de a szokásos vírusvédelmi eszközök elől is. A támadó célja, hogy észrevétlenül használhassa a gépet, beleértve az információ kinyerését és az erőforrásokat is, vagyis zombivá teszi, és egy hálózat tagjaként szolgálja a bűnözők céljait.

Régebbi hír - NTVDM hiba, jogosultság, 16 bites folyamatok ... (jan. 21.):

Jogosultsági kockázat minden Windowsban

(forrás: biztonsagportal.hu, hwsw.hu)

Címkék: frissítés hiba hibajavítás kaspersky kékhalál microsoft rootkit tdss windows xp

Kapcsolódó hírek:

Kilenc hónapja az élen az Autorun vírus (lánclevelek, hoax-ok; kacsa hírek és kéretlen levelek)

A Windows-életciklussal kapcsolatos alapinformációk

Pontosított a Microsoft a kalóz Windowsok W10-re való ingyenes frissíthetőségét illetően

Window XP - jövője bizonytalan

Kommentáld!

Hozzászólások

M Imre üzente 4 hónapja

2024. július 19-én a CrowdStrike, egy amerikai kiberbiztonsági vállalat által készített biztonsági szoftver hibás frissítése nagyszámú Microsoft Windows-t futtató számítógép és virtuális gép összeomlását okozta (kék halál). Világszerte vállalkozások és kormányok érintettek az informatika történetének legnagyobb kieséseként jellemzett eseményben.
https://en.wikipedia.org/wiki/2024_CrowdStrike_incident
___

Leállt a Crowdstrike cybersecurity platform, világszerte kékhalállal álltak emiatt a Windows-ok | 2024. 07. 19. (frissül)

-- bankok
-- légitársaságok - WizzAir, Ryanair, Delta, American Airlines, KLM, SAS, Lufthansa ...
-- repülőterek - Budapest Airport, LAX, Schiphol, Sydney Airport, Gatwick, ...
-- vasúttársaságok - UK, ...
-- IT vállalatok
-- Telco cégek
-- kórházak, egészségügy - Lübeck és Kiel kórházai, NHS GP
-- logisztikai vállalatok
-- segélyhívó / diszpécser szolgáltatok
-- London Stock Exchange
-- bankkártya társaságok, fizetési rendszerek
-- állam- és közigazgatás - Új Zéland parlamentje
-- médiatársaságok - Sky News, BBC
-- gyógyszergyárak
-- Párizsi olimpia rendszerei
-- HUP tagok rendszerei
-- stb (BBC élő helyzetjelentés)

https://hup.hu/cikkek/20240719/a_crowdstrike_cybersecurity_platform_leall_vilagszerte_kekhalallal_alltak_le_miatta_windows-ok
___

A probléma közvetlenül érintette a Windows rendszereket szerte a világon. Laptopok, terminálok, automaták ezrein jelent meg rendszerindításkor az ismert BSOD hibaképernyő, amitől újraindítással sem sikerült megszabadulni, vagy működésre bírni az eszközt.

A CrowdStrike tájékoztatása szerint a globális jelenség a számítógépes rendszerek elleni támadások megelőzésére szolgáló Falcon Sensor alkalmazásával kapcsolódott össze, pontosabban egy annak legutóbbi frissítésével érkező problémás fájl idézte elő a helyzetet - ezzel kapcsolatban több technikai részletet még nem osztott meg a cég.
https://www.hwsw.hu/hirek/67926/kekhalal-leallas-windows-crowdstrike-falconsensor-frissites-hibas.html
___

Nem mindennapos tech-leállás következtében globális fennakadások voltak a mai napon, minden ágazat megakadt: a média, a kereskedők, az egészségügy, a bankok, biztosítók, telekomcégek és légitársaságok is. Összefoglaltuk, hogy mi történt.
https://itcafe.hu/hir/vilagmeretu_leallas_botrany_crowdstrike_microsoft.html
___

A Crowdstrike a mai napon történt globális IT leállás miatt értékének ötödét veszítette a piacra lépés előtti kereskedésben az Egyesült Államokban – a nem hivatalos kereskedésben 21 százalékot. Ha mindez az amerikai részvénypiacok későbbi nyitásakor megerősítést nyer, ez 16 milliárd dolláros veszteséget jelent az egynapos értékelésben.
https://itbusiness.hu/technology/aktualis-lapszam/ict-market/crowdstrike/
___

George Kurtz, a CrowdStrike vezérigazgatója is megszólalt,

https://edition.cnn.com/business/live-news/global-outage-intl-hnk#h_4ceaf8404a838b4955f80821619c33ac

aki hangsúlyozta: nem egy biztonsági incidens vagy kibertámadás áll a hiba háttérében, és már kiadtak egy javítást.
https://hvg.hu/tudomany/20240719_globalis-informatikai-problemak-microsoft-crowdstrike-fennakadas-kekhalal
___

Nem egyszerű probléma

A CrowdStrike elsőre egy ügyfeleknek küldött tájékoztatásban ismerte el a problémát, amely a Falcon Sensor elnevezésű alkalmazásukhoz köthető. Nem sokkal később aztán megtalálták a hibát a legutóbbi frissítésben, és ezt visszavonták.

A (kék) halálos örvénybe került gépek ettől viszont még nem feltétlenül élednek fel. A vállalat ezért egy meglehetősen körülményes, és a cég egyik vezető szakemberének X-en tett hozzászólása alapján nem is minden esetben működő megkerülős trükköt javasol az érintett szervezeteknek, felhasználóknak.

A javasolt javítási procedúra:

1. A rendszert biztonsági vagy helyreállítási környezet (WRE) módban kell indítani.

2. Meg kell keresni a C:\Windows\System32\drivers\CrowdStrike könyvtárat.

3. Azon belül pedig törölni a C-0000029*.sys elnevezésű fájlt.

4. Ha minden jól megy, így már csak újra kell indítani a gépet normál üzemmódban.

Apró probléma, hogy a CrowdStrike megoldását hatalmas eszközparkkal rendelkező nagyvállalatok használják, így még ha működik is a fenti folyamat, annak végigzongorázása minden gépen garantáltan el fog tartani egy ideig.
https://bitport.hu/a-fel-windowsos-vilagot-lerottyantotta-egy-biztonsagi-ceg

Válasz

M Imre üzente 4 hónapja

Leállt a Crowdstrike cybersecurity platform, világszerte kékhalállal álltak emiatt a Windows-ok | 2024. 07. 19. (frissül)

-- bankok
-- légitársaságok - WizzAir, Ryanair, Delta, American Airlines, KLM, SAS, Lufthansa ...
-- repülőterek - Budapest Airport, LAX, Schiphol, Sydney Airport, Gatwick, ...
-- vasúttársaságok - UK, ...
-- IT vállalatok
-- Telco cégek
-- kórházak, egészségügy - Lübeck és Kiel kórházai, NHS GP
-- logisztikai vállalatok
-- segélyhívó / diszpécser szolgáltatok
-- London Stock Exchange
-- bankkártya társaságok, fizetési rendszerek
-- állam- és közigazgatás - Új Zéland parlamentje
-- médiatársaságok - Sky News, BBC
-- gyógyszergyárak
-- Párizsi olimpia rendszerei
-- HUP tagok rendszerei
-- stb (BBC élő helyzetjelentés)

https://hup.hu/cikkek/20240719/a_crowdstrike_cybersecurity_platform_leall_vilagszerte_kekhalallal_alltak_le_miatta_windows-ok
___

A probléma közvetlenül érintette a Windows rendszereket szerte a világon. Laptopok, terminálok, automaták ezrein jelent meg rendszerindításkor az ismert BSOD hibaképernyő, amitől újraindítással sem sikerült megszabadulni, vagy működésre bírni az eszközt.

A CrowdStrike tájékoztatása szerint a globális jelenség a számítógépes rendszerek elleni támadások megelőzésére szolgáló Falcon Sensor alkalmazásával kapcsolódott össze, pontosabban egy annak legutóbbi frissítésével érkező problémás fájl idézte elő a helyzetet - ezzel kapcsolatban több technikai részletet még nem osztott meg a cég.
https://www.hwsw.hu/hirek/67926/kekhalal-leallas-windows-crowdstrike-falconsensor-frissites-hibas.html
___

Nem mindennapos tech-leállás következtében globális fennakadások voltak a mai napon, minden ágazat megakadt: a média, a kereskedők, az egészségügy, a bankok, biztosítók, telekomcégek és légitársaságok is. Összefoglaltuk, hogy mi történt.
https://itcafe.hu/hir/vilagmeretu_leallas_botrany_crowdstrike_microsoft.html
___

A Crowdstrike a mai napon történt globális IT leállás miatt értékének ötödét veszítette a piacra lépés előtti kereskedésben az Egyesült Államokban – a nem hivatalos kereskedésben 21 százalékot. Ha mindez az amerikai részvénypiacok későbbi nyitásakor megerősítést nyer, ez 16 milliárd dolláros veszteséget jelent az egynapos értékelésben.
https://itbusiness.hu/technology/aktualis-lapszam/ict-market/crowdstrike/
___

George Kurtz, a CrowdStrike vezérigazgatója is megszólalt,

https://edition.cnn.com/business/live-news/global-outage-intl-hnk#h_4ceaf8404a838b4955f80821619c33ac

aki hangsúlyozta: nem egy biztonsági incidens vagy kibertámadás áll a hiba háttérében, és már kiadtak egy javítást.
https://hvg.hu/tudomany/20240719_globalis-informatikai-problemak-microsoft-crowdstrike-fennakadas-kekhalal
___

Nem egyszerű probléma

A CrowdStrike elsőre egy ügyfeleknek küldött tájékoztatásban ismerte el a problémát, amely a Falcon Sensor elnevezésű alkalmazásukhoz köthető. Nem sokkal később aztán megtalálták a hibát a legutóbbi frissítésben, és ezt visszavonták.

A (kék) halálos örvénybe került gépek ettől viszont még nem feltétlenül élednek fel. A vállalat ezért egy meglehetősen körülményes, és a cég egyik vezető szakemberének X-en tett hozzászólása alapján nem is minden esetben működő megkerülős trükköt javasol az érintett szervezeteknek, felhasználóknak.

A javasolt javítási procedúra:

1. A rendszert biztonsági vagy helyreállítási környezet (WRE) módban kell indítani.

2. Meg kell keresni a C:\Windows\System32\drivers\CrowdStrike könyvtárat.

3. Azon belül pedig törölni a C-0000029*.sys elnevezésű fájlt.

4. Ha minden jól megy, így már csak újra kell indítani a gépet normál üzemmódban.

Apró probléma, hogy a CrowdStrike megoldását hatalmas eszközparkkal rendelkező nagyvállalatok használják, így még ha működik is a fenti folyamat, annak végigzongorázása minden gépen garantáltan el fog tartani egy ideig.
https://bitport.hu/a-fel-windowsos-vilagot-lerottyantotta-egy-biztonsagi-ceg