Microsoft Rushes at Fix IE Kill-bit Bypass Attack

Microsoft har været tvunget til at udstede nødopdateringer til sit Windows-operativsystem, efter at forskerne har fundet en måde at omgå en kritisk sikkerhedsmekanisme i Internet Explorer-browseren.

Under en onsdagssamtale på denne uges Black Hat-konference i Las Vegas blev forskere Mark Dowd, Ryan Smith og David Dewey vil vise en måde at omgå den "kill-bit" -mekanisme, der bruges til at deaktivere ActiveX-kontroller fra buggy. En video demonstration indsendt af Smith viser, hvordan forskerne var i stand til at omgå mekanismen, som kontrollerer ActiveX-kontroller, der ikke må køre på Windows. De kunne derefter udnytte en buggy ActiveX-kontrol for at køre et uautoriseret program på et offers computer. Selv om forskerne ikke har afsløret de tekniske detaljer bag deres arbejde, kunne denne fejl være en big deal, hvilket giver hackere en vej

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

"Det er enormt, fordi du kan udføre kontroller på den boks, som weren Jeg ville tænkes henrettet, "siger Eric Schultze, chefstekniker med Shavlik Technologies. "Så ved at besøge et ondt websted [kriminelle] kan jeg gøre alt, hvad de vil, selvom jeg har brugt plasteren."

Microsoft udsteder ofte disse kill-bit instruktioner som en hurtig måde at sikre Internet Explorer mod angreb, der udnytter buggy ActiveX-software. Windows-registreringsdatabasen tildeler ActiveX-kontroller unikke numre, kaldet GUID'er (globalt unikke identifikatorer). Kill-bit-mekanismen blacklists visse GUID'er i Windows-registreringsdatabasen, så komponenterne ikke kan køres.

Ifølge kilder, der er bekendt med sagen, tager Microsoft det usædvanlige skridt til at frigive en nødplaster til fejlen på tirsdag. Microsoft frigiver typisk kun disse "out-of-cycle" patches, når hackere udnytter fejlen i virkelige angreb. Men i dette tilfælde er fejlens detaljer stadig hemmelige, og Microsoft sagde, at angrebet ikke bliver brugt i angreb. "Dette må virkelig have bange Microsoft," sagde Schultze og spekulerede på, hvorfor Microsoft måske havde udgivet det -cyklus patches.

Det kan også afspejle et akavet public relations problem for Microsoft, som i de senere år har arbejdet tættere sammen med sikkerhedsforskere. Hvis Microsoft havde bedt forskerne om at holde op på deres tale, indtil selskabets næste sæt regelmæssigt planlagte patches - 11. august - kunne virksomheden have stået over for at have undertrykt Black Hat-undersøgelsen.

Microsoft har selv fået fået få detaljer om nødsituationerne, der skal udgives tirsdag kl. 10.00 vestkyststid.

Senest fredags sagde selskabet, at det var planlagt at frigive en kritisk løsning til Internet Explorer samt en relateret Visual Studio patch klassificeret som "moderat".

Problemet, der lader forskerne omgå kill-bit-mekanismen, kan imidlertid ligge i en udbredt Windows-komponent kaldet Active Template Library (ATL). Ifølge sikkerhedsforsker Halvar Flake er denne fejl også skylden for en ActiveX-fejl, som Microsoft identificerede tidligere denne måned. Microsoft udstedte en dræbte patch til problemet den 14. juli, men efter at have kigget på fejlen fastslog Flake, at plaster ikke fik rettet den underliggende sårbarhed.

En af forskerne, der præsenterede hos Black Hat, Ryan Smith, rapporterede denne fejl til Microsoft for mere end et år siden, og denne fejl vil blive diskuteret under Black Hat-diskussionen, bekræftede kilder mandag.

En talsmand fra Microsoft afviste at sige, hvor mange ActiveX-kontroller der sikres via kill-bit-mekanismen, der forklarer, at virksomheden "har ikke yderligere oplysninger til at dele om dette problem", indtil patcherne er udgivet. Men Schutze sagde, at der er nok, at tirsdagspatchen skal anvendes så hurtigt som muligt. "Hvis du ikke anvender dette, er det som om du har afinstalleret 30 tidligere patches," sagde han.

Smith nægtede at kommentere for denne historie og sagde, at han ikke havde lov til at diskutere sagen foran sin Black Hat-snak. De to andre forskere involveret i præsentationsarbejdet for IBM. Og mens IBM nægtede at gøre dem tilgængelige for kommentarer mandag, bekræftede virksomhedens talskvinde Jennifer Knecht, at onsdagens Black Hat-tale er relateret til Microsofts tirsdagspatcher.