Microsoft žuri za popravak IE Kill-bit bypass napada

Tijekom razgovora u srijedu na ovogodišnjoj Black Hat konferenciji u Las Vegasu, istraživači Mark Dowd, Ryan Smith i David Dewey će pokazati način zaobilazeći "ubiti-bit" mehanizam koji se koristi za onemogućavanje buggy ActiveX kontrole. Video demonstracija objavljena od strane Smitha pokazuje kako su istraživači uspjeli zaobići mehanizam koji provjerava ActiveX kontrole za koje nije dopušteno pokretanje u sustavu Windows. Oni su tada mogli iskoristiti buggy ActiveX kontrolu kako bi pokrenuli neovlašteni program na žrtvinom računalu.

Iako istraživači nisu otkrili tehničke pojedinosti iza njihova rada, taj bi bug mogao biti velik posao, iskoristiti ActiveX probleme za koje se pretpostavljalo da su ublaženi ubojitim bitovima.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

"To je ogroman jer tada možete izvršiti kontrole na okviru koji je bio nije namjeravano izvršiti ", rekao je Eric Schultze, glavni tehnološki direktor tvrtke Shavlik Technologies. "Dakle, posjetom zlonamjernim web stranicama [kriminalci] mogu učiniti sve što žele, iako sam primijenio zakrpu."

Microsoft obično izdaje ove instrukcije ubiti-bit kao brz način osiguranja Internet Explorera od napada koji iskorištavaju buggy ActiveX softver. Windows Registry dodjeljuje jedinstvene brojeve ActiveX kontrole, nazvane GUID (globalno jedinstvene identifikatore). Mehanizam za ubijanje bit će crne liste određenih GUID-ova u registru sustava Windows tako da komponente ne mogu biti pokrenute. Prema izvorima koji su upoznati s tom pitanjem, Microsoft je u utorak naveo neobičan korak izdavanja hitne zakrpe za bug. Microsoft obično oslobađa te zakrpe "izvan ciklusa" kada hakeri iskorištavaju pogrešku u napadima u stvarnom svijetu. No, u ovom slučaju detalji o manjku još uvijek su tajni, a Microsoft je rekao da se napad ne koristi u napadima. "Ovo se mora stvarno preplašiti Microsoft", rekao je Schultze, spekulirajući zašto je Microsoft možda izdao "

" To može također odraziti i na neugodan problem odnosa s javnošću za Microsoft, koji je posljednjih godina blisko surađivao sa sigurnosnim istraživačima. Ako je Microsoft zatražio od istraživača da odustaju od razgovora do sljedećeg reda zakazanih zakrpa tvrtke - zbog 11. kolovoza - tvrtka bi se mogla suočiti sa suzbijanjem istraživanja Black Hat.

Sam Microsoft je dao nekoliko detalji o sigurnosnim zakrpama, koji će biti objavljeni u utorak u 10:00 zapadnoj obali vremena.

Kasnije prošlog petka, tvrtka je rekla da planira objaviti kritički popravak za Internet Explorer, kao i povezani Visual Studio patch je ocijenjen "umjerenim". Međutim, problem koji istraživačima omogućuje premošćivanje mehanizma ubojitih bita može se nalaziti u širokoj upotrebi komponente sustava Windows pod nazivom Active Template Library (ATL). Prema istraživačima sigurnosti Halvar Flake, ovaj nedostatak je također kriv za ActiveX bug koji je Microsoft utvrdio ranije ovog mjeseca. Microsoft je 14. srpnja izdao patch za problem 14. srpnja, ali nakon što je pogledao u bug, Flake je utvrdio da patch nije popravio temeljnu ranjivost.

Jedan od istraživača koji su predstavili Black Hat, Ryan Smith, izvijestio je ovaj nedostatak Microsoftu prije više od godinu dana, a ovaj nedostatak će se raspravljati tijekom Black Hatovog razgovora, izvori potvrđeni u ponedjeljak.

Glasnogovornik tvrtke Microsoft odbio je reći koliko je ActiveX kontrola osigurano putem mehanizma ubiti-bit koji objašnjava da je tvrtka "nema dodatnih informacija za podjelu o ovom problemu", dok se zakrpe ne otvore. Schutze je, međutim, rekao da postoji dovoljno da zakrčka utorka bude primijenjena što je prije moguće. "Ako ne primijenite ovo, to je kao da ste deinstalirali 30 ranijih zakrpa", rekao je.

Smith je odbio komentirati ovu priču, rekavši kako mu nije dopušteno raspravljati o pitanju prije njegovog razgovora s Black Hatom. Druga dva istraživača uključena u prezentacijski rad za IBM. I dok ih IBM nije želio staviti na raspolaganje za komentar u ponedjeljak, glasnogovornica tvrtke Jennifer Knecht potvrdila je kako je priča o Black Hatu u srijedu povezana s zakrpama Microsoftovog utorka.