30-08-04 01:59
[MS Windows] Potencijalna prijetnja: Windows Security Center
piše DUBRAVKO NARANDŽIĆ
Service Pack 2 za Windows XP donosi niz novih tehnologija koje bi trebale pridonijeti većoj sigurnosti najraširenijeg klijentskog operativnog sustava. Jedna od njih je i Windows Security Center. WSC korisniku omogućuje da provjeri status najvažnijih sigurnosnih mjera koje bi na računalu morale biti provedene: vatrozid, automatska nadogradnja sigurnosnim zakrpama i zaštita od virusa. Uz pomoć WSC-a korisnici će moći na jednom mjestu vidjeti da li je njihovo računalo izloženo riziku od različitih vrsta napada.
Windows Security Center informacije o trenutnom statusu sigurnosnih mjera pohranjuje u internoj bazi ugrađenoj u operativni sustav Windows Management Instrumentation (WMI). WMI je Microsoftova implementacija Web Based Enterprise mananagementa (WBEM), standarda za pristup upravljačkim informacijama sustava. Kako je WMI dostupan bilo kojem programu koji koristi WBEM API, informacije o sigurnosnom stanju sustava izložene su čak i potencijalnom napadaču. Iz toga proizlazi da napadač može doznati da li je na sustavu aktivan vatrozid, koje od poznatih ranjivosti nisu zaštićene sigurnosnim zakrpama i da li je sustav zaštićen od najnovijih virusa. Aplikacije koje mogu pristupiti bazi WMI mogu biti napisane različitim skriptnim jezicima ili kao ActiveX moduli.
Potencijalni napadač mogao iskoristiti opisani problem tako da podmetne program koji će povremeno provjeravati status sigurnosnih mjera zapisan u WMI bazi. Konstantno nadgledanje statusa vjerojatno bi bilo otkriveno nekom od mjera. U trenutku dok su sigurnosne mjere deaktivirane program može trajno onesposobiti neke od mjera, te u WMI zapisati lažnu informaciju o ispravnom statusu. Na taj način korisnik računala mogao bi ostaviti otvorena vrata za provođenje daljnjeg napada. Ne samo to: maliciozni program mogao bi u bazu zapisati i lažnu informaciju o instaliranim mjerama zaštite, poput antivirusnog softvera ili third-party vatrozida koji uopće nisu instalirani na računalu.
Posebno je zabrinjavajuće što je Microsoft objavio i alat namijenjen testiranju WBEM baze unutar Windows-a kojim je moguće pregledavati, dodavati i mijenjati vrijednosti u bazi. Uočite da sam alat nije toliko velika prijetnja kao činjenica da napadač zahvaljujući njemu može saznati informacije o strukturi baze i vrijednosti koje se u nju zapisuju! Ipak, olakšavajuća okolnost je ta što korisnik koji želi iskoristiti alat mora imati administratorske ovlasti.
U cijeloj priči posebno je zanimljiv Microsoft-ov odgovor kojim proizvođač operativnog sustava negira da se radi o sigurnosnom problemu. Microsoft, koji naglašava da SP2 za Windowse XP donosi niz unaprjeđenja na sigurnosnom planu, kaže da korisnik koji želi iskoristiti opisan problem sa WSC-om već mora imati visoku razinu pristupa sustavu. Ako je korisnik već omogućio pokretanje ili pokrenuo aplikaciju koja može spoof-ati WMI, napadaču su vrata već otvorena. Također, napadač u tom slučaju ne treba informaciju o statusu sigurnosnih mjera – mogao bi jednostavno isključiti vatrozid ili antivirusnu zaštitu, a Microsoft naglašava i da će većina napadača napad provesti izravnijim i manje sofisticiranim tehnikama od čekanja da korisnik sam onemogući sigurnosne mjere. Na sugestiju da bi pristup WMI bazi trebao biti omogućen samo određenim aplikacijama, Microsoft odgovara da je WMI zamišljen kao otvoren sustav koji bi mogli koristiti antivirusni programi i vatrozidi različitih proizvođača.
Koliko je opisani problem doista opasan tek ćemo vidjeti. Iako Windows Security Center u ovom obliku omogućuje novi oblik sofisticiranog napada, nema sumnje da će mnogim korisnicima pomoći da održe visoku razinu zaštićenosti sustava. Uz sve druge benefite koje Service Pack 2 donosi, njegova instalacija preporuča se svim korisnicima Windows-a XP.
Dodatne informacije o ovom problemu mogu se naći na stranicama PC Magazine (http://www.pcmag.com). Više informacija o WSC-u i SP2 mogu se naći na stranicama Microsofta (http://www.microsoft.com/windowsxp/sp2/default.mspx).
|