A Microsoft rácsoskodik az IE Kill-bit bypass támadással

A szerdai beszéd során a Las Vegas-i Black Hat konferencián kutatók Mark Dowd, Ryan Smith és David Dewey megmutatja, hogyan lehet elkerülni a "kill-bit" mechanizmust, amely a hibás ActiveX-vezérlők letiltására szolgál. A Smith által közzétett videó bemutató azt mutatja be, hogy a kutatók hogyan tudták megkerülni a mechanizmust, amely ellenőrzi az ActiveX-vezérlőket, amelyek nem használhatók Windows rendszeren. Ők képesek voltak kihasználni egy hibás ActiveX-vezérlőt, hogy jogosulatlan programot fussanak az áldozat számítógépén.

Bár a kutatók nem fedezték fel munkájuk mögött álló technikai részleteket, ez a hiba nagy baj lehet, és így a hackerek

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

"Ez óriási, mert akkor végrehajthatja a vezérlőelemeket a dobozon, ami weren nem akarták végrehajtani "- mondta Eric Schultze, a Shavlik Technologies vezető technológiai vezetője. "Tehát a gonosz weboldal meglátogatásával [a bűnözők] bármit megteszhetnek, még akkor is, ha én is alkalmaztam a javítást."

A Microsoft rendszerint kiadja ezeket a kill-bit utasításokat, mint gyors módja annak, hogy az Internet Explorer bátorságot ActiveX szoftver. A Windows Registry az ActiveX-vezérlők egyedi számát, az úgynevezett GUID-eket (globálisan egyedi azonosítókat) hozzárendeli. A kill-bit mechanizmus fekete listákat tartalmaz bizonyos GUID-eket a Windows rendszerleíró adatbázisában, így az összetevők nem futtathatók.

Az ügyet ismerő források szerint a Microsoft kedden szokatlan lépést tesz a vészhelyzeti javítások kiadására. A Microsoft általában csak ezeket a "körök nélküli" javításokat adja ki, amikor a hackerek kihasználják a valóságos támadások hibáját. De ebben az esetben a hiba részletei még mindig titokban vannak, és a Microsoft azt mondta, hogy a támadást nem használják a támadásokban.

"Ezt nagyon meg kell félek a Microsofttól" - mondta Schultze, spekulálva, hogy miért adta ki a Microsoft - A ciklusok foltjai.

Ez egy olyan kínos PR-problémát is tükrözhet a Microsoft számára, amely az utóbbi években szorosabban együttműködött a biztonsági kutatókkal. Ha a Microsoft megkérte a kutatókat, hogy hagyják el a beszélgetésüket, amíg a vállalat következő rendszeresen ütemezett javításainak sorát - augusztus 11-éig - a vállalat nem tudta ellenállni a Black Hat kutatás elfojtásának.

a sürgősségi javítások részleteit, amelyek kedden 10 órakor lesznek felszállva a nyugati partmenti időre.

A múlt pénteken a vállalat azt mondta, hogy az Internet Explorer és a kapcsolódó Visual Studio a javítás "mérsékelt".

Azonban a probléma, amely lehetővé teszi a kutatók számára, hogy megkerüljék a kill-bit mechanizmust, egy széles körben használt, az Active Template Library (ATL) nevű Windows-összetevőben rejlenek. Halvar Flake biztonsági kutató szerint ez a hiba az ActiveX hibának is tulajdonítható, amelyet a Microsoft a hónap elején azonosított. A Microsoft 2006. július 14-én kiadta a "kill-bit" javítást a probléma miatt, de miután megvizsgálta a hibát, Flake megállapította, hogy a javítás nem oldotta meg a mögöttes sebezhetőséget.

A Black Hat-ban bemutatott egyik kutató Ryan Smith ez a hiba a Microsoftnak több mint egy éve történt, és ezt a hibát a Black Hat beszéde során fogják megvitatni, a források megerősítették hétfőn.

A Microsoft szóvivője elutasította, hogy hány ActiveX-vezérlőt biztosít a kill-bit mechanizmuson keresztül, "nincsenek további információk a probléma megosztásához", amíg a javítások megjelennek. Schutze azonban azt mondta, hogy elegendő ahhoz, hogy a keddi foltot a lehető leghamarabb alkalmazni kell. "Ha nem alkalmazza ezt, akkor olyan, mintha eltávolítotok volna 30 korábbi javítást."

Smith elutasította, hogy kommentálhassa ezt a történetet, mondván, nem engedhette meg, hogy megvitassa az ügyet a Black Hat beszélgetése előtt. A másik két kutató részt vesz az IBM prezentációs munkájában. És bár az IBM megtagadta, hogy elérhetővé tegyék számukra a megjegyzést hétfőn, a cég szóvivője, Jennifer Knecht megerősítette, hogy a szerda Black Hat beszélgetése kapcsolatban áll a Microsoft keddi javításával.