Ismét kritikus hiba fenyegeti az újabb keletű Windows-okat

A Remote Procedure Call (RPC) protokollt a Windows-ok egy jelentős része használja, mégpedig process-eken belüli kommunikációra. Ennek alkalmazásával egy program képes kódot futtatni egy távoli rendszeren. Magát a protokollt egyébként az Open Software Foundation hozta létre, a Microsoft azonban kibővítette lehetőségeit.

Azt nem tudni, hogy az eredeti változatot is érinti-e az a hiba, amit az RPC Windows-os verziójában fedeztek fel. Ez egyébként a TCP/IP-n keresztüli üzenetcserében rejlik: a protokoll nem megfelelően kezeli a rosszul megformázott üzeneteket. A sérülékenység a Distributed Component Object Model (DCOM) intreface-ét érinti. A 135-ös porton hallgatózó RCP ezen felülete kezeli a DCOM objektumok aktiválási kérelmeit, melyeket a kliens számítógépek küldtek a szervernek.

A támadó, ha ki tudja használni ezt a sebezhetőséget, akkor képes lesz a helyi rendszerprivilégiumokkal kódot futtatni az érintett rendszeren. Ezzel pedig bármilyen műveletet végre tud hajtani: programok telepítését, adatokat tud megnézni, megváltoztatni, törölni, illetve akár új accountokat is létrehozhat, amik akár a legmagasabb jogokkal is rendelkezhetnek. Ehhez pedig csupán egy speciálisan kialakított, a 135-ös porton keresztül a célrendszerhez eljuttatott kérelem elküldésére van szükség.

Érintett rendszerek

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003