Очередная веская причина задуматься о переходе с ОС Windows на альтернативу

Виктор Игнатьев

12 августа, Швеция. 40 серверов интернет-провайдера TeliaSonera в постоянной перезагрузке, администраторы в панике, 20 000 клиентов подверглись атаке компьютеров своего же провайдера, компания на грани банкротства.

По всей Азии и Европе большинство корпоративных сетей подвергаются ежеминутной атаке. Многие корпорации несут тысячные убытки, т.к. компьютеры не позволяют обслуживать клиентов.

К концу дня информационные агентства в Дании сообщили, что на данный момент парализована работа приблизительно 2000 компьютеров, и эта цифра постоянно увеличивается.

В Германии известный автомобильный гигант BMW признал, что многие компьютеры корпорации работают некорректно.

Что же это? Массовая атака хакеров? Или, может быть, сбой в операционной системе? Нет, в очередной раз весь мир стал свидетелем воплощения в жизнь реального принципа корпорации Microsoft: «Сначала деньги, а пользователи потом». Многие администраторы и простые пользователи ещё помнят Nimda и Code Red, помнят фразу «Hacked by chinese», и теперь этот список дополнит ещё один – W32.Lovsan.worm, так же он известен как W32.Blaster.

Итак, рассмотрим подробнее суть проблемы. 16 июля на bugtraq пришло письмо от польской хакерской группы Last Stage of Delirium. Они заявили, что обнаружили критическую уязвимость защиты во всех недавних версиях операционных систем корпорации Microsoft. Уязвимость затрагивает заданные по умолчанию инсталляции Windows NT 4.0, Windows 2000, Windows XP, а также Windows 2003 Server, которая, кстати, была разрекламирована как не восприимчивая к атакам на переполнение буфера. Это ещё одно подтверждение что «Сначала реклама, а потом дело, и уж после этого может быть качество».

LSD предоставили общественности proof of concept code, но полный исходный код эксплоита не был опубликован, т.к. это повлекло бы за собой массовые взломы и создание червей.

Реакция Microsoft оказалась на редкость незамедлительной. Буквально в этот же день на официальном сайте компании было опубликовано подтверждение существования уязвимости. Но несмотря на «джентльменский» поступок LSD, 25 июля группа китайских хакеров Xfocus опубликовала полный код эксплоита против англоязычных версий Windows 2000 и XP.

Так в чём же суть проблемы?

Уязвимость заключается в посылке специальных данных удалённой машине через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM.

Проблема истекает из ошибки в реализации API-функции:

HRESULT CoGetInstanceFromFile(

  COSERVERINFO * pServerInfo,

  CLSID * pclsid,

  IUnknown * punkOuter,

  DWORD dwClsCtx,