Det första 0-day säkerhetshålet i Windows 7 har publicerats online, och det är än en gång SMB (Fil & Skrivardelning) komponenterna som som strular.

Mer information finns att hitta hos ZDNET.

Än så länge finns ingen fungerande attackkod på nätet som kan användas för att ta sig in i W7 system, men det brukar bara vara en tidsfråga. Den kod som finns orsakar “bara” en total systemlåsning. Rekommendationen från Microsoft är att genom brandväggskonfiguration se till att dessa funktioner inte är tillgängliga från internet eller andra ej betrodda källor. Detta kan dock vara lättare sagt än gjort i större nätverk.

En säkerhetsuppdatering kommer med största sannolikhet att släppas inom kort av Microsoft.

Förklaring: “0-day” eller “Zero day” sårbarhet är en sådan som upptäcks eller publiceras innan leverantören har en lösning tillgänglig. De kan klassas som allvarligare då det inte finns något sätt att skydda sig (förutom att styra bort trafik med brandväggar och andra säkerhetsprodukter).

Daniel Nyström Datasäkerhet 0-day, 7, Microsoft, säkerhetshål, windows, zero day

Denna månad så släpper Microsoft 13 uppdateringar till diverse funktioner i deras operativsystem. Totalt så korrigeras 34 separata säkerhetsproblem och det är nytt rekord.

Allvarligaste buggarna, alltså de man bör patcha först om man måste prioritera, är de i Internet Explorer samt Windows GDI-bibliotek enligt PC World. Anledningen till detta är att de påverkar många datorer (alla klienter) och att säkerhetshålen i dessa delar enkelt kan utnyttjas via webbsidor som preparerats med skadlig kod. Microsoft håller dock inte med helt och hållet och rankar vissa andra hål högre.

Oavsett prioriteringsordning så måste dock samtliga uppdateringar installeras snarast på alla klienter, då det inte brukar dröja så värst länge efter att de publicerat information som denna tills det finns “bad guys” som utnyttjar hålen.

Bland uppdateringarna så finns det till och med en som berör Windows 7, som inte ens finns på hylla att köpa i affären (vilket i och för sig är bra då risken för att vara påverkad sjunker).

Om du idag inte har något system för att hålla koll på Microsoft uppdateringarna i ditt nätverk så kan jag rekommendera både WSUS, en intern uppdateringsserver som håller koll på klienterna, och MBSA som är ett verktyg för att utföra en grundläggande säkerhetskontroll av Windowsbaserade datorer i ditt nätverk.

Uppdatering: Ser nu att även IDG hade skrivit om denna månads patchnings-mardröm.

Daniel Nyström Datasäkerhet 13, 34, Microsoft, oktober, rekord, uppdateringar

Läser på SecurityFocus att Microsoft går ut och varnar för ett ännu opatchat säkerhetshål i deras IIS-servermjukvara (Internet Information System):

Microsoft warned its users on Tuesday that an exploit has been published for a previously unknown vulnerability in the file transfer protocol (FTP) component of its Internet Information Services (IIS) software.

The stack-overflow flaw allows attackers to remotely exploit servers, if they have the ability as untrusted users to create directories. The security bug can be exploited by writing a long, specially-crafted directory name to the server, Microsoft stated in its advisory. The vulnerability affects IIS 5.0 for Windows 2000, IIS 5.1 for Windows XP and IIS 6.0 for Windows Server 2003.

Säkerhetshål i komponenter som dessa är de som ställer till flest problem i längden, då det tyvärr ofta finns dåliga rutiner för patchning av servrar. I många fall så finns det även testmiljöer och dylikt som inte hålls efter som de skall och länge är sårbara.

Notera att det krävs att den som attackerar systemet har tillgång till någon form av FTP inloggning och att de får skapa filer (mappar, mer specifikt). De som löper störst risk är alltså de som tillåter anonyma inloggningar för att ladda upp filer.

Våran företagslösning AdminSecure rekommenderar användandet av en IIS server för att öka prestandan i större nätverk, och om du slagit på den funktionen (och slagit på dess FTP-funktioner, vilket inte behövs) så gäller det att uppdatera dina servrar så fort en fix finns tilgänglig! Om du vill ha hjäp att stänga av funktionen fram tills att det finns en fix, kontakta vår support så hjälper vi dig med det.

Förra gången som det fanns ett större säkerhetshål i IIS så dök masken “Code Red” upp och erövrade nyhetssidorna världen om. Trots detta så dröjde det många år innan man kunde säga att en majoritet av webservrarna på Internet var patchade. Det här säkerhetshålet har inte lika stor exponering (eftersom man måste logga in) vilket kommer att göra så det tar ännu längre tid innan alla system är ptachade.

Det här kommer definitivt vara ett stort problem framöver för många företag och privatpersoner som driver egna webservrar.

Mer information från Microsoft hittar du i Microsoft Advisory 975191 och via Security Research & Defense bloggen hos samma företag.

Daniel Nyström Datasäkerhet iis, Microsoft, sårbarhet, varning

Uppdaterad 15-07-2009: Nu finns det en “riktig” patch mot sårbarheten, läs mer här och se till att applicera den direkt eller via WindowsUpdate/WSUS.

Mitt i semestern så dyker det självklart upp en ny 0-day attack mot Internet Explorer och Windows XP eller rättare sagt Microsoft Video ActiveX Control.  Internet Explorer version 8  och Vista verkar dock vara förskonat för tillfället.

Det finns ingen patch mot denna sårbarhet just nu, men alla Panda-användare som har TruPrevent aktiverat är skyddade från denna sårbarhet tack vare Kernel Rules Engine som härdar applikationerna och förhindrar att de kan exekvera extern kod.

Det finns även en  workaround från Microsoft som du kan använda dig av för att förhindra att den sårbara Active-X komponenten utnyttjas.

Enligt de senaste rapporterna från labbet så har vi nu sett c:a ett 100-tal olika sajter som aktivt sprider skadlig kod via denna sårbarhet och troligen så kommer vi se detta antal öka exponentiellt eftersom det inte finns någon patch från Microsoft ännu.

Manuella workarounds brukar av förklarliga skäl aldrig få särskilt stort genomslag hos privatpersoner och mindre företag och nu i semestertider så blir det antagligen ännu färre som kommer göra något vilket gör det ännu mer attraktivt för de cyberkriminella att utnyttja, nu har de en rak ingång till majoriteten av alla datorer där ute.

Vad ska jag göra för att skydda mig mot denna sårbarhet?

-  Om du är Panda-användare, se till att TruPrevent är aktivt (det är påslaget som standard).

-  Överväg att installera Internet Explorer version 8

- Om du måste köra Internet Explorer 7 eller tidigare, se till att applicera Microsofts workaround i väntan på officiell patch.

Och NEJ, lösningen på alla IT-säkerhetsrelaterade problem är inte att byta webbläsare eller operativsystem. Men hela den diskussionen kommer jag att ta upp i en senare post…. Vi sparar flamewar:et tills dess, OK?

En av trojanerna som redan sprids där ute via sårbarheten är den rootkittade och informationsstjälande Lineage.LAC.

//Sebbe

Edited: Uppdaterade en länk till IDG

Sebastian Zabala Datasäkerhet, Panda Security 0-day, Internet Explorer, KRE, Lineage.LAC, Microsoft, msvidctl.dll, Panda Security, TruPrevent, Windows XP