logo-broken-mini

На днях, компания Microsoft подтвердила, что некая уязвимость, которая связанна с переполнением буфера, может действительно негативно сказаться на безопасности браузерного модуля в Windows.

Данная уязвимость была найдена еще в прошлый понедельник. Исследователем безопасности были опубликованы подробности и концепция использования кода.

“Уязвимость в SMB присутствует в функции отчетов об ошибках в CIFS (абб. от common Internet file system) браузерного служебного модуля” – так было написано исследователем в своем персональном блоге. “К счастью, PoC-код, это не самое опасное, что могло быть, так как он не дает возможности осуществления удаленного выполнение кода и приводит лишь к отказу в обслуживании, хотя изначально было заявлено, что удаленное выполнение кода все же возможно”.

Информационный сервис по вопросам безопасности VUPEN присвоил данной уязвимости критический статус, и при этом, довольно выражено было отмечено, что ее могут использовать не только для отказа в обслуживании, но и для удаленного запуска вредоносного кода на компьютере.

Однако, несмотря на данную оценку VUPEN, эта уязвимость не может использоваться для удаленного выполнения кода, поскольку исследователь безопасности, обнаруживший ее, утверждает, что удаленное использование уязвимости маловероятно. Также, исследователи из компании Microsoft заявили, им не удалось осуществить подобную операцию, по активации кода. Причиной этому, может быть то, что она работает путем объединения нескольких строк данных, а злоумышленнику скорее всего не удастся контролировать, где данные заканчивается, а от сюда следует, что недрение вредоносного кода, теоретически невозможно.

“Мы пришли к выводу, что часть строки, которую может контролировать злоумышленник, всегда будет находится в выделенном буфере, и злоумышленник не сможет управлять той частью, которая переполняет буфер” – считает исследователь. По этой причине мы пока не увидели, как происходит удаленное выполнение кода”.

Получается, что эксплойт, опасен только для локальных сегментов сети, уязвимыми являются все версии Windows, но, скорее всего, данная проблема, коснется только серверные системы, которые работают в качестве основного контроллера домена (PDC), так прокомментировал данную проблему Марк Водрич в своем блоге, являющийся инженером по безопасности ПО в Microsoft. “В грамотно настроенных окружениях браузерный протокол должен быть заблокирован на уровне межсетевого экрана, что позволит ограничить атаки на локальную сеть.”

Блокировка протокола браузера требует блокировки или фильтрации UDP и TCP-портов под номерами 138, 139 и 445.