Nehezen találunk szavakat a most következő történetre, de reméljük senkinek sem törték fel sem így, sem máshogy a gépét az elmúlt 19 év alatt... Most ugyanis egy olyan biztonsági résről lesz szó, ami 2006. óta rengeteg Windows-ba bekerült, a Windows XP-től kezdve a Windows 7-en át egészen a Windows 11-ig, szóval öveket becsatolni!
A főszereplő neve: ltmdm64.sys. Ez az Agere Systems nevű cég régi faxmodem illesztőprogramja, amit a Microsoft valamiért minden Windows-ban ott felejtett az elmúlt közel két évtizedben. A fájl olyan hardverhez készült, amit ma már csak múzeumban látni, viszont az OS-ben rendszergazdai jogosultsággal fut. Ha egy támadó valahogy bejutott a gépünkre (például egy másik sebezhetőségen keresztül), ezzel a driverrel simán rendszergazdává léphetett elő, és onnantól azt csinált, amit csak akart. És mindez akkor is működött, ha soha nem volt faxmodemünk, mert a fájl alapból ott figyelt a rendszerben. Csodálatos, nem igaz?
Láttátok már legújabb videónkat?
És hogy 19 év után mi erre a Microsoft válasza? TÖRLÉS! Az októberi biztonsági frissítéssel eltávolították a drivert, szóval aki még nem frissített, annak minél előbb érdems rányomni a Frissítés most gombra. Szerencsére mindenki könnyen ellenőrizheti, ott figyel-e ez a sunyi őskövület a gépén: a Win+R kombóval előhívott Futtatásba csak másoljuk be ezt: C:\Windows\System32\drivers
A megnyíló mappában pedig keresgéljünk egy ltmdm64.sys nevű fájl után. Ha nem találjuk meg, akkor áldás, ha igen, akkor valószínűleg még nem frissítettünk. Azért ez durva: egy 2006-os, faxmodemhez készült driver egészen 2025. végéig admin jogokat adhatott a támadóknak. Reméljük több hasonló csontváz már nem esik ki a System32 mappából...
Borítókép forrása: Microsoft
