Microsoft Rushes naprawia Atak typu Kill-bit Bypass

Microsoft został zmuszony do wydawania poprawek awaryjnych dla swojego systemu operacyjnego Windows po tym, jak naukowcy odkryli sposób na obejście krytycznego mechanizmu bezpieczeństwa w przeglądarce Internet Explorer.

Podczas środowej konferencji na temat konferencji Black Hat w Las Vegas, naukowcy Mark Dowd, Ryan Smith a David Dewey pokaże sposób obejścia mechanizmu "kill-bit" używanego do wyłączania błędnych formantów ActiveX. Prezentacja wideo opublikowana przez Smitha pokazuje, w jaki sposób badacze mogli obejść mechanizm, który sprawdza formanty ActiveX, które nie mogą być uruchamiane w systemie Windows. Następnie byli w stanie wykorzystać wadliwą kontrolkę ActiveX w celu uruchomienia nieautoryzowanego programu na komputerze ofiary.

Chociaż badacze nie ujawnili technicznych szczegółów swojej pracy, ten błąd może być wielkim problemem, dając hakerom drogę wykorzystywania problemów ActiveX, o których wcześniej sądzono, że zostały złagodzone za pomocą zabójczych bitów.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"Jest olbrzymi, ponieważ wtedy można wykonywać kontrole na polu, które nie było "Zamierzał zostać stracony" - powiedział Eric Schultze, dyrektor ds. technologii w firmie Shavlik Technologies. "Odwiedzając złowrogą stronę internetową [przestępcy] mogą zrobić wszystko, co chcą, nawet jeśli zastosowałem łatę."

Microsoft często wydaje te instrukcje dotyczące zabijania jako szybki sposób zabezpieczenia Internet Explorera przed atakami wykorzystującymi błędy Oprogramowanie ActiveX. Rejestr systemu Windows przypisuje unikalne numery kontrolek ActiveX, zwane identyfikatorami GUID (globalnie unikalne identyfikatory). Mechanizm "kill-bit" blokuje pewne identyfikatory GUID w rejestrze systemu Windows, aby nie można było uruchamiać komponentów.

Według źródeł znanych z tej kwestii, Microsoft podejmuje niezwykły krok w celu wydania łaty awaryjnej dla błędu we wtorek. Microsoft zazwyczaj wypuszcza te "niegotowe" łaty, gdy hakerzy wykorzystują lukę w prawdziwych atakach. Ale w tym przypadku szczegóły usterki wciąż są tajne, a Microsoft powiedział, że atak nie jest używany w atakach.

"To musiało naprawdę przerazić Microsoft," powiedział Schultze, spekulując, dlaczego Microsoft mógł wydać łatki z cyklu.

Może to również odzwierciedlać niezręczny problem public relations dla Microsoftu, który w ostatnich latach ściśle współpracował z badaczami bezpieczeństwa. Gdyby Microsoft poprosił naukowców, aby wstrzymali się z rozmowami, aż do następnego zestawu regularnie planowanych łatek - z powodu 11 sierpnia - firma mogła stanąć w obliczu sprzeciwu wobec zdławienia badań Black Hat.

Sam Microsoft zapewnił niewiele szczegóły dotyczące poprawek awaryjnych, które zostaną opublikowane we wtorek o godzinie 10:00 czasu zachodniego wybrzeża

Pod koniec zeszłego piątku firma poinformowała, że ​​planuje wydać poprawkę krytyczną dla Internet Explorera, a także powiązane Visual Studio łatka oceniona jako "umiarkowana".

Jednak problem, który pozwala badaczom ominąć mechanizm zabijania bitów, może znajdować się w powszechnie używanym komponencie systemu Windows o nazwie Active Template Library (ATL). Według badacza bezpieczeństwa, Halvara Flake'a, ta wada jest również odpowiedzialna za błąd ActiveX, który Microsoft zidentyfikował na początku tego miesiąca. Microsoft wydał 14 lipca łatkę zabójczą dla problemu, ale po przeanalizowaniu błędu, Flake stwierdziła, że ​​łata nie naprawiła luki bazowej.

Jeden z naukowców prezentujących w Black Hat, Ryan Smith, zgłosił ta wada Microsoftu ponad rok temu i ta wada zostanie omówiona podczas przemówienia w Black Hat, źródła potwierdzone w poniedziałek.

Rzecznik Microsoftu odmówił stwierdzenia, ile kontrolek ActiveX jest zabezpieczonych za pomocą mechanizmu kill-bit, wyjaśniając, że firma "nie ma dodatkowych informacji na temat tego problemu", dopóki poprawki nie zostaną zwolnione. Ale Schutze powiedział, że jest wystarczająco dużo, aby wtorkowa łatka została zastosowana tak szybko, jak to możliwe. "Jeśli tego nie zrobisz, to tak, jakbyś odinstalował 30 wcześniejszych łat", powiedział.

Smith odmówił komentarza do tej historii, mówiąc, że nie wolno mu było omawiać tej sprawy przed swoim przemówieniem w Czarnym kapeluszu. Pozostali dwaj badacze zaangażowani w prezentację pracują dla IBM. Podczas gdy IBM odmówił udostępnienia ich w komentarzu w poniedziałek, rzeczniczka firmy Jennifer Knecht potwierdziła, że ​​środowe wystąpienie w Black Hat jest związane z wtorkami Microsoftu.