Image
13.2.2015 0 Comments

Kritickú chybu vo Windows má Microsoft, ohrozených milióny strojov

microsoft.jpg Microsoft vydal v utorok kritickú záplatu pre Windows, ktorá opravuje nebezpečnú zraniteľnosť, vďaka ktorej útočníci mohli prevziať na diaľku plnú kontrolu nad systémami nič netušiacich používateľov. Oprava pre Windows Server 2003 však vydaná nebude.

Vývoj a testovanie aktualizácie pre chybu prezývanú ako JASBUG, trval viac ako rok a bola vďaka nej posilnená okrem iného aj Skupinová politika (Group Policy), čo je funkcia, ktorá umožňuje organizáciám centrálne spravovať systémy s Windows.

Diera bola podľa bezpečnostnej konzultantskej spoločnosti JAS Global Advisors ukrytá priamo vo Skupinovej politike po viac ako desať rokov. JAS Global Advisors spolu so spoločnosťou simMachines o existencii diery informoval Microsoft v januári 2014.

"Narozdiel od známych dier ako Heartbleed, Shellshock, Gotofail a POODLE je táto diera obsiahnutá priamo v štruktúre Skupinovej politiky," uviedol na svojich webových stránkach JAS. Aby ju mohol opraviť, musel preto Microsoft prerobiť kľúčové komponenty svojho operačného systému a pridať niekoľko nových funkcií.

Microsoft sa tomuto bezpečnostnému riziku venoval v bulletine MS15-011. Inžinieri amerického gigantu na blogu vysvetlili, že útočníci tieto diery zneužívali za použitia techník ako ARP spoofing na lokálnej sieti, vďaka ktorým prinútili počítače akceptovať a aplikovať zlé nastavenie Skupinovej politiky zo serverov, ktoré mali pod kontrolou.

Pri úspešnom zneužití diery boli útočníci schopní na diaľku na počítače inštalovať programy, meniť dáta alebo vytvárať nové účty. JAS plánuje vydať technickejšie podrobnosti o spomínanej diere neskôr v tomto mesiaci.

Microsoft v snahe zabrániť útokom priniesol na systémy s aktualizáciou MS15-011 novú funkciu nazývanú ako UNC (Universal Naming Convention) Hardened Access. Tá vyžaduje, aby sa klient aj server autentifikoval pred tým, než klient pristúpi k obsahu UNC (ktorým sú napríklad dáta Skupinovej politiky) na serveri.

Aj keď problém postihuje všetky podporované verzie Windows, Microsoft sa rozhodol, že patch nevydá pre Windows Server 2003, ktorého podpora bude ukončená 14. júla.

Podľa Microsoftu nemalo zmysel vytvárať záplatu aj pre Windows Server 2003, pretože by musel byť prerobený nielen komponent Skupinovej politiky, ale aj ďalšie významné časti operačného systému. Kvôli tomu by potom mohli vzniknúť problémy s kompatibilitou u aplikácií, ktoré boli navrhnuté priamo pre Windows Server 2003.

Aj keď toto odôvodnenie dáva zmysel, veľa firiem používajúcich Windows Server 2003 až do júla aj naďalej očakáva vydávanie bezpečnostných aktualizácií. Na tomto operačnom systéme beží po celom svete stále milióny počítačov a analytici predpovedajú, že ich migrácie na novšiu verziu OS bude obtiažna, pretože okolo zastaraného OS firmy postavili celý "softvérový ekosystém".

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá