Komoly hiba a megújult Windows XP-ben

A Windows XP-hez tartozó SP2 feltelepítése után számos tekintetben biztonságosabbá válik az operációs rendszer. A Microsoft, a számítógép veszélyeztetettségének gyors áttekintése végett, a javítócsomag, és így a felpatch-elt operációs rendszer részévé tette a Windows Security Centert (WSC), ahol könnyen átlátható, hogy az alapvető védelmi vonalak (tűzfal, antivírus szoftver, fontos frissítések) rendben vannak-e.

Ha a tűzfalat kikapcsolja a felhasználó, vagy a vírusirtó túlságosan régi adatbázissal rendelkezik, akkor itt értesülhet róla a számítógép tulajdonosa. Ez az információ egy belső adatbázisban tárolódik, melyet az operációs rendszer egyik alrendszere, a Windows Management Instrumentation (WMI) kezel. Ám a WMI természetéből adódóan a WSC által megjelenített adatok manipulálhatók (például a rosszul beállított vagy kikapcsolt tűzfalról is kijelezhető, hogy minden rendben van vele kapcsolatban), sőt, mi több, adatokhoz is hozzáférhet egy támadó, vagy akár meg is fertőzhető a rendszer, például spammelő zombit csinálva a PC-ből.

A WMI tulajdonképpen a Microsoft Web-Based Enterprise Management (WBEM) implementációja, ami egy olyan iparági szabvány, ami a rendszermenedzsment információkhoz való hozzáférést szabványosítja. Az SP2-ben a Microsoft új mezőket (avagy rekordokat) adott hozzá, annak érdekében, hogy a tűzfal és az antivírus adatok nyomon követhetők legyenek a WMI adatbázisban. Sajnos azonban ez utóbbi úgy van kialakítva, hogy a WBEM API-n keresztüli hozzáférés révén bármilyen program hozzáférhet a WMI-hez. Ezek lehetnek desktopos alkalmazások, webalapú scriptek vagy akár ActiveX modulok is.

A Windows ráadásul tartalmaz egy tesztelő eszközt, a WBEMTEST.EXE file-t, ami lehetővé teszi a felhasználó számára, hogy megnézze a WMI tartalmát, ahhoz adatokat adjon hozzá vagy szerkesszen meg. Ezt pedig nemcsak a számítógép tulajdonosa használhatja fel, hanem akár egy rosszindulatú behatoló is.

Egyelőre nem érkezett jelentés arról, hogy bármilyen malware alkalmazás kihasználná a fent leírt lehetőséget, de a problémát felfedezők szerint ez csupán idő kérdése. Az esetről értesítették Redmondot, s az angol PC Magazine közzé is tette, mi volt a Microsoft hivatalos válasza.