De seneste to dage har igen været travle i landets IT-afdelinger. Alene i går indløb der tre kritiske fejlmeddelelser fra Microsoft relateret til Windows og Exchange-mailservere.
Endnu en fejlmeddelelse handler om Microsoft Messenger, der er installeret som default på mange Windows-maskiner, selv om de færreste danske virksomheder benytter systemet.
Messenger blev ellers for nylig frikendt som en sikkerhedsrisiko af produktmanageren for Windows, Greg Sullivan, som blev konfronteret med udnyttelsen af systemet til spam-agtige popups af den amerikanske avis USA Today.
- De kan ikke eksekvere kode eller gøre noget ondsindet. Det kan ikke kompromittere dit system på anden måde end ved at forstyrre, sagde Greg Sullivan til USA Today 25. september.
Patch for at stoppe Blaster-risiko
Men de ord har Microsoft tilsyneladende måttet æde igen. For i går kom altså rettelsen til Messenger-systemet.
Messenger-fejlen betyder, at der kan sendes specialkonstruerede beskeder, der skaber bufferoverløb, fordi Messenger ikke verificerer længden på beskeder. Muligvis kan der også eksekveres kode på systemet.
- Den er interessant, fordi den ligner den sårbarhed, som blev udnyttet af Blaster-ormen, så man kan frygte en ny epidemi. Messenger er aktiveret som standard, selv om ikke mange bruger den, siger teknisk chef i sikkerhedstjensten Secunia, Thomas Kristensen.
Han anbefaler også, at man straks lapper en sårbarhed i Windows Trouble Shooter ActiveX Control, som kan udnyttes af HTML-dokumenter, altså normale webssider, til at kompromittere en brugers system ved at eksekvere vilkårlig kode.
Windows Trouble Shooter ActiveX Control er installeret som standard på Windows 2000-systemer.
Samtidig har Microsoft udgivet sikkerheds-patches til Exchange?s SMTP-service. De retter også bufferoverløbs-fejl.
Rammer de små og mellemstore virksomheder
I Exchange version 5.5 giver dette mulighed for oversvømmelsesangreb, (distributed denial of service, DDOS), mens det i Exchange 2000 betyder, at vilkårlig kode kan afvikles.
- Overløbs-problemerne i Exchange Server er alvorlige, for det kan ramme mange især små og mellemstore virksomheder. Langt over halvdelen af den type virksomheder, som har egen mailserver, benytter Exchange, fortæller Thomas Kristensen.
Han har dog endnu ikke set udnyttelse af hullerne til eksempelvis ormeangreb.
Et lignende problem plager Windows HCP-protokol, hvor en sårbarhed gør at Internet Explorer og Outlook kan bruges til at forårsage bufferoverløb. Det er dog kun på Windows 2003 og Windows XP, at fejlen kan udnyttes, påpeger Microsoft.
I alt melder Thomas Kristensen om fornyet travlhed i IT-afdelingerne, hvor de ansatte har måttet installere og teste patches i stor stil de seneste dage. Han anbefaler som udgangspunkt, at man har installeret så få komponenter og programmer som muligt på sin pc.
- Før var det kun de allermest paranoide, der slog ting som Messenger fra. Men paranoia er ikke en dårlig ting, når det gælder sikkerhed, siger han.
Relevante links fra Computerworld Sikkerhed
Microsoft lukker syv sikkerhedshuller
Microsoft Exchange SMTP udvidet forespørgsel buffer overflow
Microsoft Windows HCP protokol buffer overflow
Microsoft Windows tillader installation af vilkårlige ActiveX controls
Microsoft Windows buffer overflow i Messenger Service
Microsoft Windows 2000 buffer overflow i Windows Troubleshooter ActiveX Control
Microsoft Windows Buffer Overflow i ListBox og ComboBox control
Microsoft Exchange Cross-Site Scripting sårbarhed i Outlook Web Access