Microsoft haast zich om IE-aanval te herstellen Kill-bit Bypassaanval

Microsoft is noodgedwongen noodpatches voor zijn Windows-besturingssysteem uit te geven nadat onderzoekers een manier hadden gevonden om een ​​kritiek beveiligingsmechanisme in de browser van Internet Explorer te omzeilen.

Tijdens een talkshow op de Black Hat-conferentie van deze week in Las Vegas, onderzoekers Mark Dowd, Ryan Smith en David Dewey toont een manier om het 'kill-bit'-mechanisme te omzeilen dat wordt gebruikt om ActiveX-besturingselementen voor buggy uit te schakelen. Een videodemonstratie van Smith laat zien hoe de onderzoekers het mechanisme konden omzeilen dat controleert op ActiveX-besturingselementen die niet op Windows mogen draaien. Ze konden vervolgens een ActiveX-besturingselement gebruiken om een ​​ongeautoriseerd programma op de computer van een slachtoffer uit te voeren.

Hoewel de onderzoekers de technische details achter hun werk niet hebben onthuld, kan deze bug een groot probleem zijn, waardoor hackers een manier krijgen van het exploiteren van ActiveX-problemen waarvan eerder werd gedacht dat ze werden gematigd via kill-bits.

[Meer informatie: Hoe malware van je Windows-pc te verwijderen]

"Het is enorm omdat je dan controles kunt uitvoeren op de doos die Het is niet de bedoeling dat het wordt uitgevoerd, "zei Eric Schultze, chief technology officer bij Shavlik Technologies. "Dus door een slechte website te bezoeken, kunnen [criminelen] alles doen wat ze willen, ook al heb ik de patch toegepast."

Microsoft geeft deze kill-bit-instructies vaak uit als een snelle manier om Internet Explorer te beveiligen tegen aanvallen die buggy gebruiken ActiveX-software. Het Windows-register wijst aan ActiveX-besturingselementen unieke getallen toe, GUID's genaamd (globally unique identifiers). Het kill-bit mechanisme maakt een blacklist voor bepaalde GUID's in het Windows-register, zodat de componenten niet kunnen worden uitgevoerd.

Volgens bekende bronnen neemt Microsoft de ongebruikelijke stap om een ​​noodpatch voor de bug op dinsdag vrij te geven. Microsoft geeft deze "out-of-cycle" -patches meestal alleen vrij wanneer hackers de fout in echte aanvallen misbruiken. Maar in dit geval zijn de details van de fout nog steeds geheim en Microsoft zei dat de aanval niet wordt gebruikt bij aanvallen.

"Dit moet Microsoft echt hebben afgeschrikt," zei Schultze, en speculeerde over de reden waarom Microsoft de fout zou hebben uitgegeven -of-cyclus patches.

Het kan ook een lastig PR-probleem zijn voor Microsoft, dat de laatste jaren nauwer heeft samengewerkt met beveiligingsonderzoekers. Als Microsoft de onderzoekers had gevraagd om hun gesprek te staken tot de volgende set van regelmatig geplande patches van het bedrijf - op 11 augustus - zou het bedrijf mogelijk terugslag hebben ondervonden vanwege het onderdrukken van het Black Hat-onderzoek.

Eind afgelopen vrijdag zei het bedrijf dat het van plan was een kritische correctie uit te brengen voor Internet Explorer en een gerelateerde Visual Studio patch met de beoordeling "moderate."

Het probleem echter dat de onderzoekers het kill-bit-mechanisme omzeilen, kan liggen in een veelgebruikte Windows-component, de Active Template Library (ATL). Volgens beveiligingsonderzoeker Halvar Flake is deze fout ook verantwoordelijk voor een ActiveX-bug die Microsoft eerder deze maand heeft geïdentificeerd. Microsoft heeft op 14 juli een kill-bit patch voor het probleem uitgegeven, maar na onderzoek van de bug, stelde Flake vast dat de patch de onderliggende kwetsbaarheid niet heeft opgelost.

Een van de onderzoekers die presenteerde op Black Hat, Ryan Smith, rapporteerde deze tekortkoming aan Microsoft meer dan een jaar geleden en deze fout zal worden besproken tijdens de Black Hat-talk, bronnen maandag bevestigd.

Een Microsoft-woordvoerder weigerde te zeggen hoeveel ActiveX-besturingselementen zijn beveiligd via het kill-bit-mechanisme dat verklaart dat het bedrijf "heeft geen aanvullende informatie over dit probleem", totdat de patches zijn vrijgegeven. Maar Schutze zei dat er genoeg is dat de dinsdag-patch zo snel mogelijk moet worden toegepast. "Als u dit niet toepast, is het alsof u 30 eerdere patches hebt verwijderd," zei hij.

Smith weigerde commentaar te geven op dit verhaal en zei dat hij de kwestie niet mocht bespreken voor zijn Black Hat-toespraak. De andere twee onderzoekers die betrokken zijn bij de presentatiewerkzaamheden voor IBM. En hoewel IBM weigerde maandag beschikbaar te stellen voor commentaar, bevestigde woordvoerster Jennifer Knecht van het bedrijf dat de Black Hat-discussie op woensdag verband houdt met Microsoft's dinsdag-patches.