Уязвимостта, която се дължи на неправилно дезинфекция на hcp:// URI, може да позволи на отдалечен, неупълномощен нападател да изпълнява произволни команди.
Изследователят по сигурността на Google Тавис Орманди постави котката сред гълъбите за „отговорно разкриване“ с публикуването на технически подробности на уязвимост от нулев ден, засягаща центъра за помощ и поддръжка на Microsoft Windows, без да даде на Microsoft достатъчно време да подготви a пластир.
Уязвимостта, която се дължи на неправилно дезинфекция на hcp:// URI, може да позволи на отдалечен, неупълномощен нападател да изпълнява произволни команди. Ormandy, който наскоро използва чук за пълно разкриване, за да принуди Oracle да се справи с опасна уязвимост на Sun Java, публикува експлойт код за проблема с Windows само пет дни след докладването му на Microsoft.
В ан имейл съобщение обявявайки откритието за нулев ден, Орманди каза, че манипулаторите на протоколи са популярен източник на уязвимости и твърди, че самият "hcp://" е бил обект на атаки многократно в миналото. Това накара решението му да стане публичен без наличието на корекция:
Заключих, че има голяма вероятност нападателите да са проучили този компонент и бързото оповестяване на тази информация е в интерес на сигурността.
Тези от вас с големи договори за поддръжка се насърчават да кажат на вашите представители за поддръжка, че вие би искал да види Microsoft да инвестира в разработването на процеси за по-бързи реакции на външна сигурност доклади.
Центърът за отговор на сигурността на Microsoft не е впечатлен. В публикация в блог, признаваща проблема, директорът на MSRC Майк Рийви каза, че пускането на подробности от Ormandy „прави по-вероятни широките атаки и излага клиентите на риск“.
Рийви каза, че проблемът е докладван на 5 юниth, 2010 г. (събота) и след това публикувани по-малко от четири дни по-късно. „Публично разкриване на подробностите за тази уязвимост и как да я използваме, без да ни дава време да разрешим проблема за нашите потенциално засегнати клиенти, прави широките атаки по-вероятни и излага клиентите на риск“, каза той, подчертавайки, че предложеното решение от Орманди е неадекватен.
Една от основните причини ние и много други в индустрията да се застъпваме за отговорно разкриване е че доставчикът на софтуер, който е написал кода, е в най-добрата позиция да разбере напълно корена причина. Въпреки че това беше добра находка от изследователя на Google, се оказва, че анализът е непълен и действителното решение, предложено от Google, лесно се заобикаля. В някои случаи е необходимо повече време за цялостна актуализация, която не може да бъде заобиколена и не причинява проблеми с качеството.
Reavey потвърди, че проблемът засяга само Windows XP и Windows Server 2003. Всички други версии на Windows не са засегнати. Очаква се по-късно днес Microsoft да издаде официален съвет за сигурността със заобиколни решения и насоки за смекчаване. Microsoft издаде a официален съвет за сигурност с насоки за смекчаване преди корекция.
Междувременно засегнатите потребители на Windows могат да отменят регистрацията на HCP протокола, за да се защитят, като използват следните стъпки:
- Кликнете Започнетеи след това щракнете Бягай.
- Тип regeditи след това щракнете Добре.
- Разширяване HKEY_CLASSES_ROOTи след това маркирайте HCP ключ.
- Щракнете с десния бутон върху HCP ключа и след това щракнете върху Изтриване.
Въздействие на заобиколното решение: Дерегистрирането на HCP протокола ще прекъсне всички локални легитимни връзки за помощ, които използват hcp://. Например връзките в контролния панел може вече да не работят.
За повече информация относно етиката на действията на Ormandy и каква е връзката му с Google, вижте този запис в блога на Threatpost от Робърт Хансен.