Ewolucja złośliwego oprogramowania I-III 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania VII-IX 2006

Z luką tą zmagano się przez blisko dwa miesiące. Wynik był najgorszy z możliwych - chińscy hakerzy wykorzystali lukę w celu rozprzestrzeniania wirusów, a żadna łata nie została udostępniona.

Zdaniem specjalistów z Kaspersky Lab, jeszcze bardziej niepokojące jest to, że już dwa lata temu miały miejsce incydenty związane z przetwarzaniem plików ANI. W styczniu 2005 r. wykryto setki stron zawierających Exploit.Win32.IMG-ANI (zgodnie z klasyfikacją Kaspersky Lab). Biuletyn MS05-002 zawierał łatę na tę dziurę; z czasem jednak stało się jasne, że łata nie została wystarczająco przetestowana. Poza tym, pliki kursora podważyły wszystkie zapewnienia o tym, że Vista została napisana od zera, a cały kod wielokrotnie przetestowany i takie błędy były niemożliwe.

Microsoft opublikował informacje o nowej luce, która została oznaczona jako CVE-2007-1765 CVE-2007-1765) i podał listę zagrożonych aplikacji i systemów. Jednocześnie firmy antywirusowe wykrywały kolejne zainfekowane strony oraz programy trojańskie.

W ciągu niecałego tygodnia Websense wykrył ponad 500 zainfekowanych stron, poprzez które mogli zostać zaatakowani niczego niepodejrzewający użytkownicy. W wyniku większości incydentów maszyna ofiary została zainfekowana kilkoma wariantami trojana szpiegującego stworzonego w celu kradzieży danych użytkownika dotyczących kont gier online (World of Warcraft, Lineage).

Wydawało się, że problem ten może przerodzić się w globalną epidemię. eEye Digital Security opublikował nieoficjalną łatę na tę lukę. Przypominało to inne sytuacje, gdy Microsoft zdecydował się nie publikować łaty poza cyklem: jak w przypadku grudnia 2005 r. oraz luki w przetwarzaniu plików WMF. Od wykrycia problemu do udostępnienia rozwiązania minęły prawie trzy tygodnie. Z drugiej strony, we wrześniu 2006 r. Microsoft potrzebował tylko 10 dni na opublikowanie biuletynu MS06-055, który usuwał niebezpieczną lukę.

Tym razem Microsoft zadziałał szybko i 3 kwietnia opublikował biuletyn MS07-017 zgodnie z cyklem i poza nim. Lukę tą określono jako "Luki w zabezpieczeniach interfejsu GDI umożliwiające zdalne wykonanie kodu", a liczba zagrożonych wersji systemów operacyjnych z pewnością robiła wrażenie:

• Microsoft Windows 2000 Service Pack 4;
• Microsoft Windows XP Service Pack 2;
• Microsoft Windows XP Professional x64 Edition oraz Microsoft Windows XP Professional x64 Edition Service Pack 2;
• Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 oraz Microsoft Windows Server 2003 Service Pack 2;
• Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems oraz Microsoft Windows Server 2003 with SP2 for Itanium-based Systems;
• 
  Microsoft Windows Server 2003 x64 Edition oraz Microsoft Windows Server 2003 x64 Edition Service Pack 2;
• Windows Vista;
• Windows Vista x64 Edition.