Nyhedsanalyse: En overset funktion i Windows bliver udnyttet af kriminelle på internettet til at installere bagdørsprogrammer på pc'er.
Der findes en uofficiel patch til sikkerhedshullet, men er det værd at installere den?
Den seneste uges tid har et sikkerhedshul i Windows' håndtering af WMF-filer fået stor opmærksomhed, fordi sikkerhedshullet bliver udnyttet, og fordi Microsoft endnu ikke har lukket hullet.
Delt i to lejre
Det har delt sikkerhedseksperterne i to lejre, hvor den ene lejr har taget et usædvanligt skridt og anbefaler at installere en patch, der ikke er udviklet og testet af producenten.
Producenten er i dette tilfælde Microsoft, som lover at rette sikkerhedshullet. Microsoft har dog ikke sat nogen dato på frigivelsen af en patch.
Sikkerhedshullet er dog så akut, at Microsoft formentligt vil lukke det allerede i næste uge, når selskabet udsender sine månedlige opdateringer.
Sårbar overfor hullet
I mellemtiden er størstedelen af alle Windows-installationer imidlertid sårbar over for sikkerhedshullet.
Sikkerhedsorganisationen SANS anbefaler på organisationens Internet Storm Center at installere en uofficiel patch, udviklet af den uafhængige programmør Ilfak Guilfanov.
Den anbefaling bakkes op af Mikko Hypponen fra antivirusfirmaet F-Secure, selvom det bryder med almindelig god sikkerhedspraksis.
- Normalt ville vi ikke skrive om en sikkerhedsopdatering, som ikke kommer fra leverandøren. Men Ilfak Guilfanov er ikke Hr. Hvem-som-helst. Han er ubestridt en af de dygtigste Windows-eksperter i verden, skriver Mikko Hypponen på selskabets weblog.
Også den halv-offentlige danske institution DK-CERT anbefaler installation af den uofficielle patch.
Der er tale om en simpel patch, som ifølge danske CSIS' analyse formentligt ikke er meget forskellig fra den løsning, Microsoft vil komme med.
CSIS vil dog ligesom de fleste andre sikkerhedsfirmaer ikke give den uofficielle patch en anbefaling.
Bagsiden er, at det vil være at bryde med et ellers klippefast sikkerhedsprincip om, aldrig at installere sikkerhedsopdateringer fra tredjepart.
Hvem står med ansvaret?
Hvem står eksempelvis med ansvaret, hvis det viser sig, at opdateringen giver problemer for andre systemer?
På den anden side, så udnyttes sikkerhedshullet allerede, og antivirus giver kun en begrænset beskyttelse.
Indtil videre udnyttes sikkerhedshullet dog på måder, som kræver en vis interaktion fra brugerens side.
Der er utallige eksempler på, at det ikke kræver et sikkerhedshul at inficere en pc, når blot brugeren kan overbevises.
Mere alvorligt end andre huller?
Er det aktuelle sikkerhedshul derfor en mere alvorlig trussel, end så mange andre?
Det er spørgsmålet, enhver it-ansvarlig må stille sig selv, inden han begynder at installere uofficielle sikkerhedsopdateringer.
Hvis du læser denne artikel, så er du formentligt allerede i stand til at undgå at blive ramt af sårbarheden.
Er du systemadministrator vil det måske være værd at overveje nogle af de alternative løsninger for at forhindre brugerne i at komme galt af sted
Microsoft anbefaler kunderne at bruge antivirus-software som midlertidig beskyttelse. Antivirus har imidlertid en indbygget svaghed over for nye varianter af truslen.
Microsoft foreslår endvidere en række "workarounds", som indebærer ændringer i konfigurationen og alle har den bagside, at brugeren vil opleve at miste funktionalitet i Windows.
Den slags er aldrig populært hos slutbrugerne.
Det er vigtigt ikke at lade sig gribe af panik, men i stedet opveje fordele og ulemper over for vurdering af den konkrete risiko.
Ikke så slemt som Sasser
Der er tale om et sikkerhedshul, der primært kan udnyttes via e-mail og fra websteder.
Det er alvorligt nok, men ikke i samme kategori som de sikkerhedshuller, der forårsagede udbruddene af Slammer og Sasser.
Disse udbrud kom, fordi sårbarhederne kunne udnyttes direkte via netværket uden at indblande brugeren.
Var der tale om sådan en type sårbarhed, ville det være lettere at forsvare en uofficiel patch.
På den anden side er der ifølge blandt andre McAfee værktøjer i omløb på internettet, som kan bruges til at skabe WMF-filer med ondsindet indhold.
Det betyder, at vi formentligt vil se adskillige forsøg på at udnytte sikkerhedshullet.
Samtidig bør man bide mærke i, at virusprogrammørerne tilsyneladende foretrækker at udnytte sikkerhedshuller, der er forholdsvis let tilgængelige og vidt udbredte hos slutbrugerne.
Til gengæld behæver sikkerhedshullet ikke at være et såkaldt zero-day-exploit, hvor koden til at udnytte det kommer før patchen.
De mest aktive ondsindede programmer udnytter enten ældre sikkerhedshuller eller forlader sig udelukkende på at snøre brugeren.
Det skyldes, at virusprogrammørerne i dag går mere efter profit end berømmelse. Opmærksomhed fra medierne får folk til at anskaffe sig antivirus og installere sikkerhedsopdateringer.
Ved at holde lav profil kan virusprogrammørerne i stedet opretholde en fast bestand på flere tusinde inficerede pc'er, som misbruges til at udsende spam, nye virus eller være vært for phishing-hjemmesider.
Den udvikling i virusbagmændenes motiver har sikkerhedsbranchen dokumenteret over de sidste to år.
Opmærksomhed fra et nyt alvorligt sikkerhedshul i Windows er ikke i bagmændenes interesse, men det er ikke ensbetydende med, at de vil afholde sig fra at udnytte det, som det ses af den seneste aktivitet.
Det er næppe sidste gang, vi vil se et sikkerhedshul i Windows, som bliver udnyttet, før det er blevet lukket.
En mere langsigtet løsning kan derfor være at investere tid og penge i systemer, der gør det lettere at opdage inficerede systemer på netværket og sørge for, at de ikke kan kommunikere uhindret med hackede servere på internettet.
Alternativt kan man forstærke indsatsen for at gøre brugerne bedre i stand til at genkende virusmails og oplære brugerne i at håndtere dem, så de ikke inficerer systemet.
I sidste ende gælder det om at vurdere risikoen for at få inficeret en Windows-pc på netværket over for risikoen ved at installere en uofficiel patch.
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://blogs.technet.com/msrc/default.aspx
http://isc.sans.org/diary.php?storyid=994
http://www.f-secure.com/weblog/archives/archive-122005.html#00000756