14.03.2013, 06:44
Mechanizm wykrywania urządzeń USB w systemie Windows posiadał błąd pozwalający na przejęcie kontroli nad komputerem. Microsoft opracował już stosowną poprawkę, którą następnie opublikował w ramach wtorkowych biuletynów bezpieczeństwa.
Wspomniana łatka, opracowywana pod nazwą kodową MS13-027, została wydana jako aktualizacja KB2807986, a jej głównym celem było naprawienie błędu związanego z wykrywaniem urządzeń USB, pozwalającego na przejęcie kontroli nad systemem Windows. Błąd związany był ściśle ze sposobem, w jaki Windows rozpoznaje podłączone urządzenia. Proces ich rozpoznawania jest uruchamiany za każdym razem, gdy są one podłączane lub gdy zmieni się ich źródło zasilania. W tym momencie sterownik wylicza podłączone urządzenia i na tej podstawie pojawiają się one w systemie. Okazało się jednak, że odpowiednio spreparowany dysk USB mógł w czasie tego procesu uzyskać całkowity dostęp do systemu, wliczając w to wykonanie dowolnego kodu w kontekście systemowego jądra.
Przeprowadzenie takiego ataku nie wymagało żadnego dostępu do oprogramowania, a co za tym idzie, było możliwe nawet wtedy, gdy w systemie nie był zalogowany żaden użytkownik. Jedyne czego wymagał taki atak, to fizyczny dostęp do komputera, jednak nic nie stało na przeszkodzie, aby atakujący - już po wprowadzeniu złośliwego kodu - mógł otworzyć sobie kolejne drzwi do systemu, tym razem już bez fizycznego dostępu do maszyny.
Źródło: /blogs.technet.com
Wspomniana łatka, opracowywana pod nazwą kodową MS13-027, została wydana jako aktualizacja KB2807986, a jej głównym celem było naprawienie błędu związanego z wykrywaniem urządzeń USB, pozwalającego na przejęcie kontroli nad systemem Windows. Błąd związany był ściśle ze sposobem, w jaki Windows rozpoznaje podłączone urządzenia. Proces ich rozpoznawania jest uruchamiany za każdym razem, gdy są one podłączane lub gdy zmieni się ich źródło zasilania. W tym momencie sterownik wylicza podłączone urządzenia i na tej podstawie pojawiają się one w systemie. Okazało się jednak, że odpowiednio spreparowany dysk USB mógł w czasie tego procesu uzyskać całkowity dostęp do systemu, wliczając w to wykonanie dowolnego kodu w kontekście systemowego jądra.
Przeprowadzenie takiego ataku nie wymagało żadnego dostępu do oprogramowania, a co za tym idzie, było możliwe nawet wtedy, gdy w systemie nie był zalogowany żaden użytkownik. Jedyne czego wymagał taki atak, to fizyczny dostęp do komputera, jednak nic nie stało na przeszkodzie, aby atakujący - już po wprowadzeniu złośliwego kodu - mógł otworzyć sobie kolejne drzwi do systemu, tym razem już bez fizycznego dostępu do maszyny.
Źródło: /blogs.technet.com