Awarie systemu Windows pomagają hakerom zidentyfikować luki w oprogramowaniu
Specjaliści z Websense wykazali, że standardowe raporty o błędach systemu Windows przeciekają informacje, które mogłyby zostać wykorzystane przez hakerów do opracowania specyficznych ataków zagrażających bezpieczeństwu sieci. Ich zdaniem, Windows Error Reporting (WER), znany jako Dr Watson, wysyła logi o awariach, które mogą zostać przechwycone i odczytane przez niepowołane osoby, które dotrą w ten sposób do najsłabszych punktów końcowych sieci i zdobyć tzw. "przyczółek", który posłużyć może do przeprowadzenia bardziej zaawansowanej penetracji.
WER używany jest przez 80% wszystkich komputerów podłączonych do sieci, a Dr Watson zgłasza informacje, które hakerzy wykorzystują do znalezienia słabych systemów, takich jak wersji OS, dodatków Service Pack i aktualizacji.
Raporty o awariach systemu są szczególnie przydatne dla atakujących, ponieważ mogą wskazać konkretny błąd w kodzie, co juz nawet nie jest wskazówką, ale "odwaloną połową roboty" dla atakującego, ponieważ nie musi on poświęcać czasu na znalezienie możliwego do wykorzystania błędu. (!)
Alexander Watson (bez związku z nazwą usługi Windows), dyrektor ds. badań nad bezpieczeństwem w Websense, mówi, że jego firma opracowała już metodę ataku, która jest w stanie odnaleźć takie właśnie luki w systemie Windows, a następnie je wykorzystać. Wyniki jego badań przedstawione zostaną na konferencji RSA w San Francisco, w przyszłym miesiącu.
Według Websense, domyślnie wiele organizacji wysyła sprawozdania w formie clear-text (niezaszyfrowany, czysty tekst) szczegółowe informacje na temat aplikacji, usług i sprzętu, za pomocą usługi raportowania błędów firmy Microsoft.
Raporty te nie są ograniczone tylko do awarii systemu, ale także zdarzeń, takich jak nieudane aktualizacje aplikacji, podłączenie urządzenia USB, a w niektórych przypadkach nawet przekroczenie limitu czasu oczekiwania na połączenie TCP między komputerami w sieci, z których znaczna część jest wysyłana w formie HTTP clear-text.