O nieznanej wcześniej luce w protokole SMB, służącym do udostępniania plików i drukarek, zrobiło się głośno w ubiegłym tygodniu, gdy użytkownik podpisujący się jako Cupidon 3005 opublikował (na Full Disclosure) informację o błędzie, w tym m.in. kod demonstrujący działanie luki. Wedle pierwszych analiz specjalistów ds. bezpieczeństwa, sprawa jest poważna - ich zdaniem słabość SMB może zostać wykorzystana do uruchomienia w systemie Windows złośliwego kodu.

Microsoft: zagrożenie nie jest wielkie

Ale Microsoft jest innego zdania - przedstawiciele koncernu twierdzą, że przeprowadzenie takiego ataku nie jest możliwe. "Nasze wstępne testy wykazały, że na 32-bitowej platformie ta luka nie może posłużyć do nieautoryzowanego uruchomienia kodu. Wciąż sprawdzamy sytuację w środowisku 64-bitowym - ale na razie nie znaleźliśmy żadnego sposobu na udane uruchomienie nieautoryzowanego kodu" - wyjaśnia Jerry Bryant, główny menedżer zespołu Microsoft Security Response Center (MSRC).

Bryant dodał też, że jedynym skutkiem ataku wykorzystującego nową lukę w SMB wydaje się być możliwość zawieszenia systemu (Denial of Service - DoS). To oczywiście również dość uciążliwe dla użytkownika - ale jednak mniej groźne niż zdalne uruchomienie w systemie złośliwego kodu.

Jeden z pracowników MSRC, Mark Wodrich, dodał w firmowym blogu, że w związku z ograniczeniami dotyczącymi wykorzystania pamięci, w 32-bitowym Windows taki atak na pewno nie jest możliwy, zaś w wersjach 64-bitowych mógłby on być teoretycznie możliwy wyłącznie w komputerach wyposażonych w więcej niż 8 GB pamięci RAM. "Ale nawet wtedy wykorzystanie tej luki do zaatakowania systemu byłoby ekstremalnie trudne" - napisał Wodrich.

HD Moore potwierdza

Wydaje się zresztą, że Microsoft ma w tym przypadku rację - opinie pracowników koncernu potwierdza bowiem HD Moore, szef działu bezpieczeństwa firmy Rapid7 i koordynator prac nad popularnym open-source'owym pakietem narzędzi do testów penetracyjnych Metasploit. "Jak do tej pory nie widzieliśmy żadnych exploitów, umożliwiających wykorzystanie tej luki do przeprowadzenia ataku. My też testowaliśmy kod udostępniony przez Cupidona 3005 - chcieliśmy go wykorzystać w Metasploit - ale nie przyniosło to żadnych rezultatów" - mówi Moore.

To tylko PR?

Oczywiście, takie stanowisko koncernu nie każdemu przypadło do gustu - niektórzy specjaliści ds. bezpieczeństwa krytykują Microsoft za lekceważenie błędu w SMB. "Czyli teraz każdą trudną do wykorzystania lukę będą nazywali błędem typ DoS? Co będzie następne" - napisali na Twitterze pracownicy francuskiej firmu Vupen (specjalizującej się w bezpieczeństwie informatycznym). "Przecież oni robią to od zawsze - MSRC jest raczej od PR-u, niż od faktycznego poprawiania bezpieczeństwa" - skomentował powyższy tweet Tavis Ormandy z Google'a (który już w przeszłości wielokrotnie krytykował działania Microsoft Security Response Center).

Dodajmy, że według Microsoftu luka w SMB występuje we wszystkich wersjach Windows. Koncern po zakończeniu analiz problemu ma poinformować czy i kiedy błąd ten zostanie załatany.