Luka w Firefox 2.0 jest obecnie wykorzystywana przez robaka, jakkolwiek jej działanie opiera się na wadliwym pliku bilioteki dołączanej dynamicznie (z której korzysta nie tylko Firefox!). Na podstawie rozmów prowadzonych z portalem Secunia, mogę także stwierdzić, że na błąd wykorzystywany jako pierwszy przez znanego nam robaka jest już wydana aktualizacja bezpieczeństwa. Luka w kontrolce IE jest obecnie badana, jakkkolwiek pełna aktualizacja systemu Windows XP z dodatkiem SP2 nie pomogła.
Aktualizacja bezpieczeństwa znajduje się tutaj:
http://www.microsoft.com/poland/technet/security/bulletin/MS06-006.mspx.
Systemy Windows Professional z dodatkiem SP2 bez tej aktualizacji są podatne na pierwszą z luk wykorzystywanych przez robaka. Pokaz podatności grzecznie zamykający przeglądarkę Firefox 2.0 jest dostępny pod adresem:
http://sapheal.cybersecurity.pl/odaymovies/film-AJSHDASHJG.rar
Dodatkowo, warto też wspomnieć o wynikach badań przeprowadzonych w sieci lokalnej (dotyczących wykorzystanie powyższej luki w Firefox 2.0 (i nie tylko!)). Na ponad 100 komputerów testowanych, 91 było podatnych. Wynik jest zatrważający z tegoż powodu, że sam dodatek SP2 nie chroni przed wykorzystaniem tego błędu.
Spotkałem się także z inną wersją tegoż robaka, nad którą badania są obecnie prowadzone. Robak wykorzystuje znaną już wcześniej podatność, aczkolwiek użyte oprogramowanie AV nie radzi sobie z jego zatrzymaniem. Obecnie jednak na temat tego robaka nie możemy udzielić więcej informacji. Mogę stwierdzić, że żaden z robaków nie (dotychczasowo znanych) nie wykrada informacji z komputera ofiar, służy generalnie do rozsyłania spamu. Dodatkowo zapisuje kilka plików na dysk ofiary. Szczęśliwie, nie potrafi dobrze ukryć się w systemie i jest łatwy do usunięcia.
Luka w kontrolce ActiveX została (na podstawie dotychczasowych badań) potwierdzona i prawdopodobnie w niedługim czasie możemy spodziewać się kolejnego robaka wykorzystującego nową lukę, tym razem w Internet Explorer (nie tylko!). Host skryptów systemu Windows nie radzi sobie z odpowiednio spreparowanym plikiem WSF.
Obecnie prowadzimy także badania na nieznanymi podatnościami dotyczącymi właśnie hosta skryptów systemu Windows, który w wielu przypadkach wykazuje dużą nieporadność. Obecnie mogę zdradzić chociażby to, że wielu elektroników korzystających codziennie z “legalizera” programu Eagle, ma poważny problem w postaci luki bezpieczeństwa spowodowanej właśnie przez źle napisane oprogramowanie “legalizujące”. Zdalne wykonanie kodu jest możliwe.
