Microsoft ryntää korjaamaan IE Kill-bit Bypass Attack

Keskustelun aikana tämän viikon Black Hat -konferenssissa Las Vegasissa tutkijat Mark Dowd, Ryan Smith ja David Dewey näyttää tapaa ohittaa "kill-bit" -mekanismin, jolla poistetaan vikasietoiset ActiveX-komponentit. Smithin lähettämä videoesittely osoittaa, miten tutkijat pystyivät ohittamaan mekanismin, joka tarkistaa ActiveX-komponentit, joita ei voi käyttää Windowsissa. He kykenivät sitten hyödyntämään vikasietoa ActiveX-kontrollista, jotta he voisivat käyttää luvatonta ohjelmaa uhrin tietokoneessa.

Vaikka tutkijat eivät ole paljastaneet teknisiä yksityiskohtia työnsä takia, tämä vika voisi olla iso juttu, joka antaa hakkereille mahdollisuuden

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

"Se on valtava, koska silloin voit suorittaa kontrollit laatikossa, joka oli weren t on tarkoitus toteuttaa ", sanoi teknologiajohtaja Eric Schultze, Shavlik Technologies. "Niinpä vierailemalla paha verkkosivusto [rikolliset] voivat tehdä mitä he haluavat, vaikka olen käyttänyt laastaria."

Microsoft yleensä antaa nämä kill-bittiset ohjeet nopeana tapana varmistaa Internet Explorerin hyökkäyksiltä, ​​jotka käyttävät vikoja ActiveX-ohjelmisto. Windowsin rekisteri määrittää ActiveX-komponenttien yksilölliset numerot, joita kutsutaan GUID-osoitteiksi (globally unique identifiers). Tappi-bittimekanismi mustaa listoja tiettyihin GUID-tiedostoihin Windows-rekisteriin, jotta komponentteja ei voida käyttää.

Asiaa tuntevien lähteiden mukaan Microsoft on epätavallinen askel julkaisemalla hätälaajennuksen vikoille tiistaina. Microsoft yleensä vapauttaa nämä "out-of-the-cycle" korjaustiedostot, kun hakkerit käyttävät virheitä reaalimaailmoissa. Mutta tässä tapauksessa virheen yksityiskohdat ovat edelleen salaisia ​​ja Microsoft ilmoitti, että hyökkäystä ei käytetä hyökkäyksissä.

"Tämä on todella pelkää Microsoftia", Schultze sanoi, spekuloimalla siitä, miksi Microsoft olisi voinut julkaista

Se voi myös heijastaa Microsoftin vaikeaa suhdetoimintaongelmia, joka on työskennellyt tiiviimmin turvallisuustutkijoiden kanssa viime vuosina. Jos Microsoft oli pyytänyt tutkijoita pitämään puheenvuoronsa, kunnes yhtiön seuraava säännöllisesti suunniteltujen korjaustietojen sarja - 11. elokuuta saakka - yritys olisi voinut vastustaa Black Hat -tutkimuksen hylkäämistä.

Microsoft itse on antanut muutamia yksityiskohtia hätätapauksista, jotka on määrä julkaista tiistaina kello 10.00 länsirannikolla.

Viime perjantaina yhtiö ilmoitti aikovansa julkaista kriittisen korjauksen Internet Explorerille ja siihen liittyvälle Visual Studio -ohjelmalle laastari on luokiteltu "kohtuulliseksi".

Ongelma, jonka avulla tutkijat ohittavat kill-bit-mekanismin, voivat kuitenkin olla laajalti käytössä oleva Windows-komponentti nimeltä Active Template Library (ATL). Turvallisuustutkijan Halvar Flake mukaan tämä virhe on syytä myös syyttää Microsoftin aiemmin tässä kuussa havaitusta ActiveX-bugista. Microsoft julkaisi ongelman 14. elokuuta kill-bit-korjaustiedoston, mutta Flake havaitsi virheen tarkastelun jälkeen, että korjaustiedosto ei korjannut alla olevaa haavoittuvuutta.

Yksi Black Hatin, Ryan Smithin esittämästä tutkijasta, raportoi tämä virhe Microsoftille yli vuosi sitten ja tästä puutteesta keskustellaan Black Hat -puheen aikana, lähteet vahvistetaan maanantaina.

Microsoftin edustaja kieltäytyi kertomasta, kuinka monta ActiveX-valvontaa on varmistettu kill-bit -mekanismin avulla, mikä selittää, että yritys "ei ole lisätietoja, joita voit jakaa tästä ongelmasta", kunnes korjaustiedostot julkaistaan. Schutze kuitenkin sanoi, että tiistain laastari on riitettävä niin pian kuin mahdollista. "Jos et käytä tätä, se on kuin olet poistanut 30 aikaisempia korjaustiedostoja", hän sanoi.

Smith kieltäytyi kommentoimasta tätä tarinaa sanomalla, ettei hänellä ollut lupaa keskustella asiasta Black Hatin puheen eteen. Muut kaksi tutkijaa osallistuvat IBM: n esitystyöhön. Ja vaikka IBM ei halunnut julkaista niitä kommenttina maanantaina, yhtiön tiedottaja Jennifer Knecht vahvisti, että keskiviikkona Black Hat-puhelu liittyy Microsoftin tiistai-korjaustiedostoihin.