Praktická ukázka jak může být bezpečnostní chyba využita k napadení systému

Následující příspěvek nám před několika málo minutami zaslal náš čtenář:

Možná vás bude zajímat moje peripetie za poslední hodinu. Pustil jsem po dlouhé době počítač a připojil se k internetu. Po chvíli se mi objevilo dialogové okno, že kvůli chybě v Remote procedure call bude můj počítač vypnut a měl jsem jednu minutu na povypínání aplikací, načež byl počítač restartován. Řekl jsem si, nu což, chybka se stát může, tak jsem zkusil znovu pracovat na počítači, nic se nedělo, načež jsem se připojil k internetu a opět po pár vteřinách stejné okno. To už mi bylo divné, tak jsem po novém restartu prohlédnul služby, jestli se tam nějaká neseká (virus jsem nepředpokládal, nic jsem mailem nedostal). Našel jsem jednu neznámou nově se objevyvší (msblast.exe), ostatní byly běžné, tak jsem msblast vypnul a zkusil se připojit, ovšem se stejným výsledkem (stačil jsem v té minutě ještě projít google, ten mi ovšem na "msblast.exe" nenašel nic a na "msblast" samé nesouvisející kraviny.

Po dalším restartu jsem se znovu připojil, spustil google a hledal "this system is shutting down" "remote procedure call" Tam už se mi objevily nějaké smysluplné příspěvky, potřeboval jsem ovšem další restart a spuštění internetu, abych si stihnul přečíst druhý nazvaný "Please Help Me Im Infected Big Time" a tamní odkaz "Link to fix" ze kterého jsem pochopil, že by se mohlo jednat o to, že mě někdo na dálku shazuje komp přes chybu v RPC objevenou před necelým měsícem.

Inu ihned jsem přešel na daný odkaz a začal jsem stahovat update pro mé winxp (což si vyžádalo další tři restarty, nezapomeňte, že po každém spuštění internetu jsem měl právě jednu minutu, takže vždycky kliknout na odkaz, otevřít stránku, stihnout uložit do oblíbených abych už to příště znovu nemusel a zas restart). Naštěstí při downloadu jsem měl spuštěný download accelerator, takže jsem měl tak vytíženou linku, že se ke mě útočník nemohl připojit a já to mohl v klidu stáhnout, odpojit se a nainstalovat. Po restartu už to zase začalo jet bez problémů.

Podle dění na uvedené stránce http://www.sotmesc.org/gcms/virii/messages/3074.html si myslím, že jsem nebyl sám, koho to potkalo. Takže rozhodně doporučuji http://support.microsoft.com/?kbid=823980 (v češtině) kde se o všem dočtete a můžete stáhnout update)

Tomáš Kapler

P.S.: chyba může být použita nejen k restartu, ale k jakémukoliv nabourání se do systému. Předpokládám tedy, že i onen msblast.exe mi byl na dálku nahrán, ale může se jednat o něco jiného (pak si ale myslím, že bych to na google našel).

Témata článku: Google, Microsoft, Napadení, Bezpečnostní chyba, Tomáš Kapler, Stihl, Následující minuta, Please, Nabourání, Restart, Ukázka, Fixy, Chyba

Určitě si přečtěte


Aktuální číslo časopisu Computer

26 procesorů v důkladném testu

Zhodnotili jsme 18 bezdrátových reproduktorů

Jak fungují cash back služby?

Pohlídejte své děti na internetu