Microsoft Rushes å fikse IE Kill-bit Bypass Attack

Microsoft har vært tvunget til å utstede nødsporre for sitt Windows-operativsystem etter at forskerne oppdaget en måte å omgå en kritisk sikkerhetsmekanisme i Internet Explorer-nettleseren.

Under en onsdagsprat på denne ukens Black Hat-konferanse i Las Vegas, forskere Mark Dowd, Ryan Smith og David Dewey vil vise en måte å omgå "kill-bit" -mekanismen som brukes til å deaktivere ActiveX-kontroller for buggy. En videodemonstrasjon skrevet av Smith viser hvordan forskerne var i stand til å omgå mekanismen, som kontrollerer ActiveX-kontroller som ikke får kjøres på Windows. De kunne da utnytte en buggy ActiveX-kontroll for å kjøre et uautorisert program på et offers datamaskin. Selv om forskerne ikke har avslørt de tekniske detaljene bak sitt arbeid, kan denne feilen være en stor sak, noe som gir hackere en vei

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Det er stort fordi da kan du utføre kontroller på boksen som var Jeg er ment å bli henrettet, sier Eric Schultze, sjefsteknolog offiser med Shavlik Technologies. "Så ved å besøke et ondt nettsted kan [kriminelle] gjøre alt de vil ha, selv om jeg har brukt oppdateringen."

Microsoft utsteder ofte disse kill-bit instruksjonene som en rask måte å sikre Internet Explorer på fra angrep som utnytter buggy ActiveX-programvare. Windows-registret tilordner ActiveX-kontroller unike tall, kalt GUID-er (globalt unike identifikatorer). Kill-bit-mekanismen svartelister visse GUID-er i Windows-registret slik at komponentene ikke kan kjøres.

I henhold til kilder som er kjent med saken, tar Microsoft det uvanlige skrittet for å slippe en nødspor for feilen på tirsdag. Microsoft frigir vanligvis bare disse "out-of-cycle" patcher når hackere utnytter feilen i virkelige angrep. Men i dette tilfellet er detaljene i feilen fortsatt hemmelige, og Microsoft sa at angrepet ikke blir brukt i angrep.

"Dette må virkelig skremme Microsoft," sa Schultze og spekulerte på hvorfor Microsoft kunne ha gitt ut

Det kan også gjenspeile et vanskelig publiseringsproblem for Microsoft, som har jobbet tettere sammen med sikkerhetsforskere de siste årene. Hvis Microsoft hadde bedt forskerne om å holde av med sin samtale til selskapets neste sett med regelmessige planlagte patcher - 11. august - kunne selskapet ha stått bakover for å ha undertrykt Black Hat-undersøkelsen.

Microsoft har selv gitt noen få detaljer om nødsporene, som er satt til å bli utgitt tirsdag klokken 10:00 på vestkysten.

Senesten fredag, sa selskapet at det var planlagt å frigjøre en kritisk løsning for Internet Explorer, samt en relatert Visual Studio patch klassifisert som "moderat".

Problemet som lar forskerne omgå bruddbitmekanismen kan imidlertid ligge i en mye brukt Windows-komponent kalt Active Template Library (ATL). Ifølge sikkerhetsforsker Halvar Flake er denne feilen også skylden for en ActiveX-feil som Microsoft identifiserte tidligere denne måneden. Microsoft utstedte en feilbit for problemet den 14. juli, men etter å ha sett på feilen, fastslått Flake at plåstret ikke løste det underliggende sårbarheten.

En av forskerne som presenterer Black Hat, Ryan Smith, rapporterte Denne feilen til Microsoft for over et år siden, og denne feilen vil bli diskutert under Black Hat-diskusjonen, bekreftet kilder på mandag.

En talsmann fra Microsoft nektet å si hvor mange ActiveX-kontroller som er sikret via kill-bit-mekanismen som forklarer at selskapet "Har ikke tilleggsinformasjon for å dele om dette problemet," til patchene er utgitt. Men Schutze sa at det er nok at tirsdagspakken skal brukes så snart som mulig. "Hvis du ikke bruker dette, er det som om du har avinstallert 30 tidligere oppdateringer," sa han.

Smith nektet å kommentere for denne historien og sa at han ikke fikk lov til å diskutere saken foran Black Hat-snakkesamtalen. De to andre forskerne var involvert i presentasjonsarbeidet til IBM. Og mens IBM nektet å gjøre dem tilgjengelige for kommentarer mandag, bekreftet selskapets talskvinne Jennifer Knecht at onsdagens Black Hat-tale er relatert til Microsofts tirsdagspatcher.