Je jedno, jestli máte rádi nebo nesnášíte zveřejňování detailních popisů bezpečnostních chyb. Na deset dní starou chybu v RPC v operačních systémech Windows NT až Windows Server 2003 již mají hackeři nástroje na snadný průnik. Připravte se na červíky.
Kompletní odhalení všech detailů bezpečnostních chyb (tzv. full disclosure) má své příznivce i odpůrce. Příznivci tvrdí, že plný popis chyby více motivuje k záplatám a lépe informuje o reálných rizicích dané bezpečnostní chyby. Odpůrci naopak tvrdí, že není nějaká souvislost mezi počtem záplatujících uživatelů a hloubkou popisů chyby. Za určitou hranicí se prostě už dává příliš podrobný návod hackerům, kteří nemají nějak složitou práci a rychle dokáží využít odhalených slabin a připravit útočné programy.
Microsoft je ve svých popisech bezpečnostních chyb velmi opatrný, co se týče zabíhání do detailů. Sice nabízí spoustu technických informací, nikdy ale nedá konkrétní návod, jak by se dala daná chyba zneužít. To na jedné straně komplikuje útočníkům práci, na straně druhé je to ale také nezastaví.
V půlce července byla oznámena oprava bezpečnostní chyby ve zpracování RPC požadavků v systémech řady NT, tedy od Windows NT, přes Windows XP po Windows Server 2003. RPC slouží ke spouštění kódu na jiných počítačích v síti a má své velmi užitečné využití. Na druhou stranu chyba umožňuje připravit takový RPC požadavek, který na jiném počítači spustí neautorizovaný kód, například kód červa, který se dále bude šířit.
V systémech Windows XP, Windows 2000 Service Pack 4 a Windows Server 2003 je již standardem automatické stahování oprav. Dá se vypnout, ale není to doporučované, tyto systémy by tak měly být již poměrně zabezpečené. Systémy s vypnutým automatickým stahováním oprav a zejména ty z kategorie "nebudu přece záplatovat počítač na místní síti za firewallem, na který se nedá z venku z internetu dostat" však jsou velmi zranitelné, jak ukázal třeba Nimda či jiní podobní červíci.
Pokud jste z těch, kteří reagují až na pořádné ohrožení, je tu jedna motivace pro vás. Čínská skupina X Focus si dala tu práci a z kusých informací Microsoftu po dlouhé analýze nakonec přišla na detaily chyby v RPC. Aby to ještě více prokázala, připravila i zdrojový kód programu, který útočí na vybraný počítač. Tento kód má popravdě v sobě chybičku, není využitelný na všech postižených verzích systémů, už se ale internetem šíří i opravená verze.
Není to sice zdrojový kód červa, ale X Focus udělala to nejdůležitější. Nyní již opravdu jen stačí vzít tento základ a trochu ho rozvést do něčeho hrozivějšího. Trvalo tedy jen deset dní, než na mírně popsanou chybu byl nachystán do detailu připravený program. Je nyní tak téměř jisté, že nějaký červ využívající tento kód bude připraven. Pokud ani teď svůj systém nebudete mít záplatován, tak se připravte, že vám hrozí brzy vážné problémy.
