Microsoft Rushes la Fix IE Kill-bit Bypass Attack

În timpul unei conferințe de miercuri la conferința Black Hat din această săptămână din Las Vegas, cercetătorii Mark Dowd, Ryan Smith iar David Dewey va arăta o modalitate de a ocoli mecanismul "kill-bit" folosit pentru a dezactiva controalele ActiveX buggy. O demonstrație video postată de Smith arată cum cercetătorii au reușit să ocolească mecanismul, care verifică controalele ActiveX care nu au voie să ruleze pe Windows. Ei au reușit apoi să exploateze un control ActiveX buggy pentru a rula un program neautorizat pe computerul victimei.

Deși cercetătorii nu au dezvăluit detaliile tehnice din spatele muncii lor, acest bug ar putea fi o afacere mare, oferind hackerilor un mod de a exploata problemele ActiveX despre care se credea anterior că au fost atenuate prin "kill-bits".

[Citirea suplimentară: Cum să eliminați malware-ul de pe PC-ul dvs. Windows]

"Este imens pentru că puteți executa controale pe cutie "nu intenționează să fie executat", a declarat Eric Schultze, șef de tehnologie al companiei Shavlik Technologies. "Astfel, vizitând un site Web rău [criminalii] pot face orice doresc, deși am aplicat patch-ul."

Microsoft emite în mod obișnuit aceste instrucțiuni de kill-bit ca o modalitate rapidă de a asigura Internet Explorer de atacurile care exploatează buggy Software-ul ActiveX. Registrul Windows atribuie controalelor ActiveX numere unice, numite GUID (identificatori unici global). Mecanismul kill-bit conține liste de identificatori GUID din registrul Windows, astfel încât componentele să nu poată fi executate.

Potrivit unor surse cunoscute, Microsoft face un pas neobișnuit de a lansa marți un patch de urgență pentru acest bug. Microsoft de obicei eliberează aceste patch-uri "în afara ciclului" atunci când hackerii exploatează defectele în atacurile din lumea reală. Dar in acest caz detaliile defectelor sunt inca secrete, iar Microsoft a spus ca atacul nu este folosit in atacuri. <"Acest lucru trebuie sa fi speriat cu adevarat Microsoft", a spus Schultze, speculandu-se de ce Microsoft ar fi emis

De asemenea, aceasta ar putea reflecta o problemă dificilă de relații publice pentru Microsoft, care a lucrat mai îndeaproape cu cercetătorii în domeniul securității în ultimii ani. Dacă Microsoft ar fi cerut cercetătorilor să își țină seama de discuțiile lor până la următorul set de patch-uri programate regulat - din 11 august - compania s-ar fi confruntat cu reacție pentru că a suprimat cercetarea Black Hat.

Microsoft a oferit puține detalii despre patch-urile de urgență, care urmează să fie lansate marți, la ora 10:00, ora de coastă a Vestului.

Ultimele zile de vineri, compania a declarat că intenționează să lanseze o soluție critică pentru Internet Explorer, "Cu toate acestea, problema care permite cercetătorilor să ocolească mecanismul kill-bit poate să se găsească într-o componentă Windows foarte cunoscută, numită Active Template Library (ATL). Potrivit cercetătorului de securitate Halvar Flake, acest defect este, de asemenea, de vină pentru un bug ActiveX identificat de Microsoft la începutul acestei luni. Microsoft a lansat un patch-uri pentru problema pe 14 iulie, dar după ce a analizat bug-ul, Flake a stabilit că patch-ul nu a reparat vulnerabilitatea.

Unul dintre cercetătorii prezenți la Black Hat, Ryan Smith, acest defect la Microsoft cu mai mult de un an în urmă și acest defect va fi discutat în timpul discuției Black Hat, au confirmat luni sursele.

Un purtător de cuvânt al Microsoft a refuzat să spună câte controale ActiveX sunt asigurate prin mecanismul kill-bit, explicând că compania "nu are informații suplimentare pentru a permite accesul la această problemă", până la eliberarea patch-urilor. Dar Schutze a spus că sunt suficiente pentru ca patch-ul de marți să fie aplicat cât mai curând posibil. "Dacă nu aplicați acest lucru, este ca și cum ați dezinstalat 30 de patch-uri anterioare", a spus el.

Smith a refuzat să comenteze pentru această poveste, spunând că nu i sa permis să discute problema înainte de discuția lui Black Hat. Ceilalți doi cercetători au participat la lucrările de prezentare pentru IBM. În timp ce IBM a refuzat să le pună la dispoziție pentru comentarii luni, purtătorul de cuvânt al companiei Jennifer Knecht a confirmat că discuțiile de miercuri despre Black Hat sunt legate de patch-urile de marți ale Microsoft.