Windows Attack Code Out, maar wordt niet gebruikt

Het is een week geleden dat hackers software hebben uitgegeven die kan worden gebruikt om een ​​fout in Windows Vista en Server 2008 aan te vallen, maar Microsoft en beveiligingsbedrijven zeggen dat criminelen niet veel hebben gedaan met de aanval.

Late maandag, Microsoft zei dat het geen aanvallen had gezien die het beveiligingslek gebruikten, een analyse die werd herhaald door beveiligingsbedrijven zoals SecureWorks, Symantec en de iDefense-eenheid van Verisign.

Terwijl criminelen een jaar geleden op dezelfde tekortkoming zijn gesprongen, gebruiken ze het op grote schaal aanvallen die Microsoft er uiteindelijk toe dwongen een beveiligingspatch te laten voorlopen op de maandelijkse set beveiligingsupdates, dat is niet gebeurd met deze nieuwste bug, die ligt in de SMB v2-software die door Vista en Server 2008 wordt gebruikt om bestand-en-printer te doen delen.

[Verdere lezing: Hoe t o malware van uw Windows-pc verwijderen]

Onderzoeker van SecureWorks, Bow Sineath, zei dinsdag dat er verschillende redenen zijn waarom deze laatste aanval niet is opgepakt. Misschien is de belangrijkste reden dat de Metasploit-code niet zo betrouwbaar werkt als de MS08-067-aanval van vorig jaar en vaak tot gevolg heeft dat de computer crasht in plaats van de software van de hacker te gebruiken.

SMB v2 wordt meestal geblokkeerd in de firewall, en het wordt niet geleverd met Windows XP, wat betekent dat de Metasploit-aanval niet werkt op de meeste pc's. Vista, de enige Windows-client die kwetsbaar is voor de aanval, wordt gebruikt op ongeveer 19 procent van de computers die op internet surfen, volgens de webanalyseservice Net Applications. Windows XP draait op 72 procent van de PC's.

Vanwege al deze factoren is de SMB v2-fout simpelweg niet "zo populair als een doelwit", zei Sineath.

Vorige week, Dave Aitel, CEO van beveiliging toolprovider Immunity, voorspelde dat Microsoft de bug niet zou moeten repareren vóór de geplande datum van de veiligheidspatch van 13 oktober.

De Metasploit-aanval maakt bepaalde aannames over het geheugen van de computer waardoor het in bepaalde hardwareconfiguraties werkt, maar in In veel situaties werkt het gewoon niet, zei Aitel.

"Ik vroeg het Immunity-team een ​​kijkje te nemen in de nieuwe exploit om te beoordelen of Microsoft de SMB v2-bug vroegtijdig zou patchen, en onze eerste beoordeling is 'Nee, ze zullen het niet doen ", schreef hij afgelopen dinsdag in een discussielijst. "Het werken rond dit probleem in de huidige openbare exploitatie is waarschijnlijk twee weken werk. Op dat moment naderen we Microsoft dinsdag en de noodzaak van een out-of-band-patch is onbewezen."

Het Metasploit-team is nog steeds werken aan zijn aanval, echter. Op zondag publiceerde Metasploit details over een nieuwe manier om de bug te exploiteren en zei dat het werkte aan een module die gebruik maakt van deze zogenaamde trampoline-techniek.

Als de trampolinemethode werkt en de Metasploit-aanval betrouwbaarder maakt, criminelen zullen waarschijnlijk beginnen met het gebruik ervan, zei SecureWorks.