ארכיון רד-בורד: באג אבטחה (לא כל כך חדש..) בMessenger.

13/02/2005 04:35:54 cp77fk4r

נכתב במקור ע"י נענע-נט.
(http://net.nana.co.il/Article/?ArticleID=172430&sid=10):
מיליוני משתמשי המסנג’ר של MSN המנסים להתחבר לשירות, מקבלים אתמול והיום הודעה המחייבת אותם להוריד עדכון תוכנה. מטרת השדרוג היא להטליא פרצת אבטחה שפורסמה השבוע. בלעדיו, אומרת מיקרוסופט, לא ניתן יהיה להשתמש בתוכנה.

הפרצה שהעדכון מטליא, מאפשרת להשתיל וירוס בתוך תמונה מפורמט PNG. ברגע שמעלים את התמונה למסנג’ר כתמונת תצוגה, היא מדביקה באופן מידי את כל המשתמשים הרשומים ברשימת הקשר. יותר מכך, התוקף יכול להשתלט באמצעות הפרצה על המחשב הנפגע ולשנות בו את הגדרות, בכדי להעביר את ההתקפה הלאה, למשתמשים הרשומים ברשימת הקשר שלו.
מיקרוסופט: "היינו חייבים לפעול באופן מידי"
עדכון לפרצת האבטחה המדוברת פורסם עוד ביום שלישי, ה-8 לחודש, יחד עם עוד מספר עדכוני אבטחה אחרים, ובשלב הראשון הוא שוחרר כהמלצה בלבד.

כמה שעות לאחר מכן, חברת האבטחה Core Security שיחררה לרשת קוד בלתי זדוני שמדגים כיצד ניתן לנצל את הפרצה. לא לקח זמן רב, אומרת מיקרוסופט, עד שהאקר שלישי השתמש בקוד של Core, שילב אותו בתוך וירוס ושיחרר אותו לרשת.

"ברגע שפירסמנו על הפרצה הזו השבוע, הצענו גם עידכון אבטחה ותכננו לחייב את כל המשתמשים להתקין אותו מאוחר יותר", הסבירה מיקרוסופט, "אולם ברגע שגילינו שפרטים על הפרצה פורסמו באינטרנט, הרגשנו שאנחנו חייבים לפעול באופן מידי".

מיקרוסופט לא מסתירה את העובדה שהיא רותחת מזעם על חברת Core. "פרסום הקוד מספר שעות לאתר שחרור עדכון האבטחה העמיד את הלקוחות בסיכון גבוה ביותר", כותבת בחריפות החברה.
Core: "עבדנו על הטלאי שישה חודשים"
גרסת של Core להשתלשלות העניינים היא שונה. מנכ"לה, מקס קסרס, אמר ל-eWeek כי מהנדסי החברה עבדו יחד עם מיקרוסופט מאז שהם דיווחו על הפרצה לראשונה בחודש אוגוסט 2004. "עבדנו בצמוד למיקרוסופט במשך שישה חודשים, בכדי לפתח את הטלאי", הוא אומר. "חיכינו עד שהם יפרסמו את הטלאי ורק אז פרסמנו את המלצותינו".

"העבודה שלנו היא לעזור לאנשים לבדוק אם המערכת שלהם פגיעה. קוד ההדגמה שלנו נועד לבדיקות אלו בלבד ולא בכדי לשמש תוקפים".

מיקרוסופט, מצידה, לא קונה את ההסברים של Core. "ההתנהגות המקובלת במקרים כאלו של חוקרים אחראיים, היא לחכות פרק זמן סביר לפני פרסום קוד שכזה... מיקרוסופט מאוכזבת מאד שלא ניתנה למשתמשים הזדמנות הגיונית לאבטח את סביבת המחשוב שלהם".

מנסיונם של אנשי חיים ברשת, אפשר היה להחבר למסנג’ר גם ללא התקנת העדכון, אולם מיקרוסופט מבקשת ממשתמשיה לעדכן את התוכנה שברשותם לגירסה 6.2.0205 או לגירסת 7 הנמצאת עדיין בשלב הבטא. משתמשים בעלי גירסה 7 לא צריכים לעדכן. משתמשים שנפגעו כבר, יופנו לאתר ההורדות של MSN והם לא יוכלו להתחבר למסנג’ר, עד אשר יורידו את העדכון.

13/02/2005 04:48:56 cp77fk4r

אתר הבית של הMessenger (שממנו אפשר לעדכן ת’תוכנה)
http://messenger.msn.co.il/Download/default.aspx

הדיווח של חברת Core:
http://www.eweek.com/article2/0,1759,1764112,00.asp

וכמובן.. האקספלויט שיצא עוד הרבה לפני הכתבות האלה:
הבאג התגלה כאמור ע"י חברת Core.
האקספלויט נכתב ע"י ATmaCA (שלאחרונה נהיה מוכר כשמדובר על אקספלויטים לישומים של מייקרוסופט .. חח).
פורסם בKoTik,
http://www.k-otik.com/exploits/20050209.MS05009.c.php

הסוג כתיבה של AT מאוד מקל על קריאתו של הקוד- ואני ממליץ שגם מי שלא יודע C ינסה לקרוא, לא חייבים להבין כל פקודה ופקודה, יש הסברים בהרבה חלקים וזה טוב גם למי שלא יודע C.

קריאה מהנה, ו...לא לעשות יותר מדי נזק.

13/02/2005 13:09:23 nickless

תודההההההה אני משתמש בזה =\
בעעע לא היה שום הודעה על זה אתמול Oo

13/02/2005 15:59:57 cp77fk4r

הם פרסמו את זה ממש בלילה- אבל עדיין, הם מאחרים בדי הרבה זמן...

20/02/2005 23:47:16 phax

That’s why kids, you should never use the evil msn messenger.

21/02/2005 16:01:22 cp77fk4r

ובנימה זו של פאקס, רוצו לחצר, ארוחת 10 עוד חצי שעה ;)

רד-בורד: ארכיון

ראשי > אבטחת מידע > באג אבטחה (לא כל כך חדש..) בMessenger.