Mellan 2003 och 2004 kunde maskar som Slammer, Code red och Blaster infektera tiotusentals datorer inom loppet av några minuter. Sedan dess har angrepp generellt varit mer riktade. Med den under gårdagen upptäckta sårbarheten som rör hur Windows hanterar RPC-förfrågningar finns dock en viss risk för en ny mask med masspridning.

Det var under gårdagen som Microsoft annonserade att de under torsdagskvällen klockan 19 svensk tid skulle publicera en extremt viktig säkerhetsuppdatering. Efter publiceringen har flera säkerhetsexperter varnat för allvaret i bristen, och vikten av att snarast installera uppdateringen.

Bristen är som mest allvarlig i Windows 2000, Windows XP, och Server 2003. Det går då genom att skicka ett speciellt utformat RPC-paket att tillskansa sig full kontroll över ett angripet system, vilket bäddar för att genom detta sprida sig vidare till andra datorer i nätverket. För datorer som kör Windows Vista eller Windows 2008 är det inte lika allvarligt, då det då krävs att angriparen har kontroll över ett användarkonto på systemet.

Att Microsoft publicerar uppdateringar utanför det ordinarie schemat, så kallade ”out-of-band”-uppdateringar, är mycket ovanligt. De senaste åren har det skett färre än en handfull gånger, och sist var i april 2007.

Per Hellqvist, säkerhetsexpert på Symantec och bloggare på IDG.se, säger till TechWorld Säkerhet att han redan fått rapporter om hur angripare exploaterar sårbarheten.

- Det förekommer redan attacker som utnyttjar sårbarheten, det är därför det kommer en out of band-uppdatering. Attackerna är just nu "riktade", vilket innebär att de inte sprids genom en automatisk mask, utan att spridningen sker på annat sätt. Det är dock möjligt att skapa automatiserade maskar, i stil med Code red och Slammer, säger Per Hellqvist.

Per Hellqvist säger vidare att de flesta brandväggar bör skydda mot attacken, dock inte enbart Windows-brandväggen för den som samtidigt har fil- och skrivardelning aktiverad.

- Det är mycket ovanligt med out of band-uppdateringar, men det finns ingen anledning till panik. De attacker vi hittills har stött på tycks röra sig om stöld av kontokortsnummer eller liknande, säger Per vidare.

En viktig skillnad mot för fyra-fem år sedan, då vi sist såg någon form av massepidemi bryta ut, är att säkerheten på datorerna idag generellt är högre än tidigare. Dessutom finns det brandväggar som hindrar en eventuell mask från att genom internet komma in på företagsnätverken.

Den stora risken för hur en mask ska komma in på företagen är genom datorer som använts använts utanför nätverket, exempelvis när en medarbetare varit på resande fot eller arbetat hemifrån. Därigenom kan en mask ta sig in också på det interna nätverket, när medarbetaren kopplar in datorn på sin arbetsplats.

Värt att betona är att när detta skrivs finns vad TechWorld Säkerhet känner till ingen mask som utyttjar sårbarheten. Om så tas fram kan dock spridningen ske snabbt, varför rådet är att snarast installera Microsofts säkerhetsuppdatering.

Läs mer

Microsofts säkerhetsmeddelande.

Per Hellqvist bloggar om sårbarheten.

Officiell Microsoftblogg.