Windows Attack Code Out, men ikke bliver brugt

Det har været en uge siden hackere udgivet software, der kunne bruges til at angribe en fejl i Windows Vista og Server 2008, men Microsoft og sikkerhedsselskaber siger, at kriminelle ikke har gjort meget med angrebet.

Microsoft sagde, at det ikke havde set nogen angreb, der brugte sårbarheden, en analyse, der blev gentaget af sikkerhedsfirmaer som SecureWorks, Symantec og Verisigns iDefense-enhed.

Mens kriminelle hoppede på en lignende fejl for et år siden, brugte de det i vid udstrækning angreb, der i sidste instans tvang Microsoft til at skynde en sikkerheds patch ud for sit månedlige sæt sikkerhedsopdateringer, der ikke er sket med denne seneste fejl, som ligger i SMB v2-softwaren, der bruges af Vista og Server 2008 til at gøre fil-og-printer deling.

[Yderligere læsning: Hvordan t o fjerne malware fra din Windows-pc]

SecureWorks-forsker Bow Sineath sagde tirsdag, at der er flere grunde til, at dette seneste angreb ikke er blevet afhentet. Måske er hovedårsagen til, at Metasploit-koden ikke virker pålideligt som sidste års MS08-067-angreb, og det medfører ofte, at computeren simpelthen går i stykker i stedet for at køre hackers software.

SMB v2 er typisk blokeret ved firewallen, og det afsendes ikke med Windows XP, hvilket betyder, at Metasploit-angrebet ikke fungerer på de fleste pc'er. Vista, den eneste Windows-klient, der er sårbar over for angrebet, bruges på omkring 19 procent af computere, der surfer på nettet, ifølge webanalysebureauet Net Applications. Windows XP kører på 72 procent af pc'erne.

På grund af alle disse faktorer er SMB v2-fejlen simpelthen ikke "alt det, der er populært for et mål", siger Sineath.

I sidste uge har Dave Aitel, administrerende direktør for sikkerhed værktøjsleverandør Immunity, forudsagt at Microsoft ikke behøver at patchere buggen forud for den planlagte 13. oktober sikkerheds patch dato.

Metasploit angrebet gør visse antagelser om computerens hukommelse, der gør det muligt at arbejde i visse hardwarekonfigurationer, men i mange situationer, det virker simpelthen ikke, sagde Aitel.

"Jeg bad immunitetsholdet om at tage et kig ind i den nye udnyttelse for at vurdere, om Microsoft ville patch SMB v2 bug tidligt, og vores første vurdering er 'Nej, de vil ikke, "skrev han i en diskussionsliste post sidste tirsdag. "Arbejdet omkring dette problem i den nuværende offentlige udnyttelse er sandsynligvis to uger af arbejdet. På det tidspunkt nærmer vi os Microsoft Tuesday, og behovet for en out-of-band-patch er meget."

Metasploit-teamet er stadig arbejder på sit angreb dog. På søndag oplyste Metasploit detaljer om en ny måde at udnytte fejlen på og sagde, at det var på et modul, der udnytter denne såkaldte trampolinteknik.

Hvis trampolinmetoden virker og gør Metasploit-angrebet mere pålideligt, er kriminelle vil sandsynligvis begynde at bruge det, sagde SecureWorks.