Microsoft за три месяца не исправила брешь, которую можно использовать для DoS-атак

Специалист по безопасности Тавис Орманди (Tavis Ormandy) из команды Project Zero компании Google обнаружил новую уязвимость нулевого дня, которая пока что находится в процессе исправления. По словам специалиста, брешь связана с основной криптографической библиотекой SymCrypt для Windows. При этом компания обязалась исправить её за 90 дней, но так и не сделала этого. В результате разработчик на 91-й день опубликовал данные в Сети. Как сообщается, эта библиотека реализует симметричные алгоритмы шифрования в Windows 8 и асимметричные в Windows 10.

forbes.com

Орманди обнаружил, что, используя изменённый цифровой сертификат, он может заставить вычисления SymCrypt производиться в бесконечном цикле. Это позволят устроить DoS-атаку (отказ в обслуживании) на серверах Windows. Это касается систем, которые выполняют протоколы IPsec, то есть на ПК и серверах, где запускается VPN-сервис или Microsoft Exchange Server для электронной почты и календаря.

Помимо этого, антивирус может среагировать на это действие и попросту «повесить» систему. Хотя особой опасности в этом нет, но неудобства в работе такой подход создать вполне способен. В рекомендации, опубликованной Орманди, приводятся подробные сведения об уязвимости, а также доказательство концепции в виде примера изменённого сертификата, который вызывает сбой.

Впервые исследователь сообщил об этом в Microsoft 13 марта, а 26 марта в компании подтвердили, что получили данные и пообещали выпустить патч не позднее 11 июня. На сегодняшний день его всё ещё нет. По последней информации, исправление войдёт только в июльское обновление безопасности, поскольку в ходе тестирования обнаружились проблемы.

В компании подтвердили, что пытались уложиться в срок, но из-за проблем в ходе тестирования этого сделать не удалось.

Источник: