[ A Symantec szerint eltéríthet?ek a Windows Update letöltések ]

A Symantec szerint eltéríthet?ek a Windows Update letöltések

  • 2007-05-13 00:49
A Symantec biztonságtechnikai cég egy csütörtöki sajtótájékoztatón bejelentette, tudomásuk van egy olyan módszerr?l, melynek segítségével a számítógépes b?nöz?k a Windows frissítéseinek letöltéséért felel?s szolgáltatást eltérítve saját ártó kódjaikat juttathatják be a rendszerbe. A Windows Update kliensek ilyetén felhasználása azért jelent rendkívüli veszélyt, mert ezesetben a Windows egyik saját komponensér?l van szó.

A Windows XP-ben debütált "Háttérben futó intelligens átviteli szolgáltatás (Background Intelligent Transfer Service - BITS)" egy aszinkron fájlátviteli szolgáltatás, mely automatikus sávszélesség-szabályozással képes a munka megzavarása nélkül eljuttatni a frissítési fájlokat a célszámítógépre.

"Ez egy nagyszer? komponens, de ha belegondolunk, hogy HTTP protokollt használ, valamint a COM interfészeken keresztül programozható is, akár ideális spyware-letölt? alkalmazást is faraghatunk bel?le" - mondta Elia Florio, a Symantec Security Response Team kutatója. Florio azt is kifejtette, miért lehet hamarosan kedvelt célpontja a BITS a támadóknak: "Nagyon egyszer?. Azon kívül, hogy egy szabadon hozzáférhet?, megbízható mechanizmusról van szó, tehát kényelmes, ráadásul digitálisan aláírt, megbízhatónak min?sített rendszerszolgáltatás, melynek szabad átjárása van a t?zfalon keresztül is."

Amikor egy számítógép "megfert?z?dik" valamilyen ártó kód által, a támadók bevett szokása az, hogy trójai programjuk egy hátsó ajtót nyit és további kémprogramokat tölt le, vagy éppen személyes adatokat küld el. Mivel a számítógépek nagy részén üzemel valamilyen t?zfal, ez a m?velet jelentette eddig a legnagyobb akadályt a víruskészít?knek, a BITS szolgáltatást meglovagolva azonban nyitva állhat a kapu számukra. Ez természetesen azt is jelenti, hogy a számítógépet el?ször valamilyen más módon meg kell fert?zni, hogy ezzel a módszerrel zombivá változtatható legyen.

A Symantec el?ször tavaly év végén kapott információkat a BITS-szel elkövetett támadásokról, a gyakorlatban azonban csak idén márciusban találkozhattak vele, egy a orosz hekker által készített spammer trójai képében. A Security Response Team vezet?je, Oliver Friedrichs azonban azt is megjegyezte, az, hogy a Windows rendszerekben m?köd? letölt?szolgáltatást eltéríthetik nem jelenti azt, hogy a Windows Update használata veszélyes lenne. "A Microsoft frissít?szolgáltatása biztonságos, ha tiszta a gépünk, nyugodt szívvel használhatjuk azt. Ha lenne gyenge pontja, valaki bizonyára már kihasználta volna."

Florio végezetül elmondta, egyel?re nincs jó módszer a BITS eltérítése ellen. "Nehéz ellen?rizni és szabályozni, mit tölthet le és mit nem. A legjobb megoldás talán az lenne, ha a szolgáltatás csak magasabb jogosultsággal lenne m?ködtethet?, esetleg korlátozni lehetne, mely címekr?l tölthet le fájlokat."  A Microsoft egyel?re nem reagált a bejelentésre.

2007-05-14 20:40
Az a gond a proxyval, hogy a BITS szimpla http forgalmat bonyolít, így max a közismert malicsúsz oldalakat blokkolhatod - már böngészés szempontjából is.
kicsit off : Symantec inkább azzal foglakozna épkézláb virusirtót írjon corporate verziók nem rosszak bár azok is er?forrásigényesek de a home felhasználóknak szánt verziók iszonyat trék ma telepítettem pár gépre 2007-est mit ne mondjak siralmas az eredmény: ahol feltelepült normálisan ott belassított mindent de úgy mintha egy 486 gép elött dolgoznék de volt olyan gép ahol egyszer?en nem m?ködött a live update nem is beszélve hgy 2006-ra updateltem és nem ment fel ok norton removal tool de se tiszította ki a rendszert nekem kellett service-ket kézzel törölgetni és file szinten is jócskán hagyott maga mögött cuccokat ..... szóval el?ször saját házuk táján nézenek körül kicsit

2007-05-13 23:34
Szerintem a BITS-et korlátozni felesleges. Ennyi er?vel a API-kon keresztül hívható letölt?rutinokat is korlátolhatnánk.

Szerintem a vállalati proxynak kell megmondani, hogy ilyen és ilyen user-agent csak ide meg oda mehet ki. Ez üzemeltetési probléma.

2007-05-13 15:55
A Symantecnek savanyú a sz?l?.Az ? termékeik is elég gagyik.
Akár arról is lehet szó, hogy egyre nehezebben viseli el a Symantec azt, hogy kevesebb tortaszelet (biztonság) jutt nekik. :-)
Ez a BITS nem egy vadonatúj dolog, szóval ha lenne benne valami hiba, már rég kihasználták volna. Vagy a Microsoft sutyiba kijavította :D
Újabb feketepont a Microsoftnak.