Windows Attack Code Out men inte används

Det har varit en vecka sedan hackare släppte programvara som kan användas för att attackera en fel i Windows Vista och Server 2008, men Microsoft och säkerhetsföretag säger att brottslingar inte har gjort mycket med attacken.

Microsoft sa att det inte hade sett några attacker som använde sårbarheten, en analys som echoades av säkerhetsföretag som SecureWorks, Symantec och Verisigns iDefense-enhet.

Medan brottslingar hoppade på en liknande brist för ett år sedan användes det i utbredd attacker som i slutändan tvingade Microsoft att rusa ut en säkerhetsuppdatering före sin månatliga uppsättning säkerhetsuppdateringar, som inte har hänt med den senaste buggen, som ligger i SMB v2-programvaran som används av Vista och Server 2008 för att göra fil-och-skrivare delning.

[Ytterligare läsning: Hur t o ta bort skadlig kod från din Windows-dator]

SecureWorks-forskaren Bow Sineath sa tisdag att det finns flera anledningar till att den senaste attacken inte har blivit upptagen. Kanske är den främsta anledningen att Metasploit-koden inte fungerar lika pålitligt som förra årets MS08-067-attack, och orsakar ofta att datorn helt enkelt kraschar istället för att köra hackers programvara.

SMB v2 blockeras vanligtvis vid brandväggen, och det skickas inte med Windows XP, vilket innebär att Metasploit-attacken inte fungerar på de flesta datorer. Vista, den enda Windows-klienten som är utsatt för attacken, används på cirka 19 procent av datorer som surfar på webben, enligt webbanalysföretaget Net Applications. Windows XP körs på 72 procent av datorer.

På grund av alla dessa faktorer är SMB v2-felet helt enkelt inte "allt som är populärt för ett mål", säger Sineath.

Förra veckan har Dave Aitel, VD för säkerhet verktygsförsäljare Immunity, förutsagde att Microsoft inte skulle behöva patchera buggen före den schemalagda 13 oktober-säkerhetsdatumet.

Metasploit-attacken gör vissa antaganden om datorns minne som gör det möjligt att arbeta i vissa hårdvarukonfigurationer, men i många situationer, det fungerar helt enkelt inte, sade Aitel. "Jag bad immunitetslaget att titta på det nya utnyttjandet för att bedöma huruvida Microsoft skulle patchera SMB v2-buggen tidigt och vår första bedömning är" Nej, de kommer inte, "skrev han i en diskussionslista efter sista tisdagen. "Att arbeta kring den här frågan i det nuvarande offentliga utnyttjandet är förmodligen två veckors arbete. Vid den tiden närmar vi oss Microsoft Tuesday, och behovet av en out-of-band-patch är mycket."

Metasploit-laget är fortfarande arbetar dock med sin attack. På söndagen lade Metasploit information om ett nytt sätt att utnyttja buggen och sa att det fungerade på en modul som utnyttjar denna så kallade trampolinteknik.

Om trampolinmetoden fungerar och gör Metasploit-attacken mer tillförlitlig, är brottslingar kommer sannolikt att börja använda det, säger SecureWorks.