Microsoft si precipita a fix IE kill bit di bypass attacco
Durante un mercoledì parlare questa settimana, alla Black Hat conference di Las Vegas, i ricercatori Mark Dowd, Ryan Smith e David Dewey mostrerà un modo per bypassare il "kill bit" meccanismo utilizzato per disattivare buggy controlli ActiveX. Un video di dimostrazione inviato da Smith mostra come i ricercatori sono stati in grado di bypassare il meccanismo che controlla i controlli ActiveX che non sono consentiti per funzionare su Windows. Essi sono stati in grado di sfruttare un buggy controllo ActiveX per eseguire un programma non autorizzato sul computer della vittima.
Anche se i ricercatori non hanno rivelato i dettagli tecnici dietro il loro lavoro, questo bug potrebbe essere un grande affare, dando agli hacker un modo di sfruttare ActiveX problemi che sono stati precedentemente pensato per essere mitigato via uccidere-bit.
"È enorme, perché poi si può eseguire controlli sulla scatola che non erano destinati ad essere eseguiti," ha detto Eric Schultze, chief technology officer di Shavlik Technologies. "Visitare un sito Web male [i criminali] può fare quello che vuole, anche se ho applicato la patch. "
Microsoft comunemente problemi di questi kill bit istruzioni di come un modo rapido di protezione di Internet Explorer da attacchi che sfruttano buggy ActiveX software. Il Registro di Windows assegna i controlli ActiveX numeri unici, chiamati Guid (globally unique identifier). Il kill bit meccanismo blacklist alcuni Guid nel registro di Windows in modo che i componenti non possono essere eseguiti.
Secondo fonti vicine al dossier, Microsoft sta prendendo l'insolita iniziativa di rilasciare una patch di emergenza per il bug martedì. Microsoft in genere solo rilascia queste "out-of-cycle" patch quando gli hacker sfruttano la falla nel mondo reale gli attacchi. Ma in questo caso i dettagli della falla sono ancora segreto, Microsoft ha detto che l'attacco non è di essere utilizzato in attacchi.
"Questa deve essere veramente paura Microsoft", ha detto Schultze ha detto, speculando sul motivo per cui Microsoft potrebbe aver rilasciato la patch di emergenza.
Si può anche riflettere una goffa relazioni pubbliche problema per Microsoft, che ha lavorato più a stretto contatto con i ricercatori di sicurezza negli ultimi anni. Se Microsoft aveva chiesto ai ricercatori di tenere a bada il loro parlare, fino alla prossima serie di servizi pianificati patch -- scadenza agosto 11 -- la società potrebbe avere affrontato gioco per aver soppresso il Cappello Nero di ricerca.
La stessa Microsoft ha fornito alcuni dettagli sulla patch di emergenza, che sono impostati per essere rilasciato martedì alle 10:00 tempo costa Occidentale.
Tardi di venerdì scorso, la società ha detto è previsto il rilascio di una critical fix per Internet Explorer, nonché relative Visual Studio patch nominale "moderata".
Il problema, tuttavia, che consente ai ricercatori di bypass il kill bit meccanismo potrebbe risiedere in un ampiamente usato Windows componente chiamato Active Template Library (ATL). In base al ricercatore di sicurezza Alver Fiocco, questo difetto è anche per colpa di un ActiveX bug che Microsoft ha individuato all'inizio di questo mese. Microsoft ha rilasciato un bit di interruzione di patch per il problema su luglio 14, ma dopo aver studiato il bug, Fiocco stabilito che la patch non ha risolto la vulnerabilità sottostante.
Uno dei ricercatori, che presenteranno al Black Hat, Ryan Smith, segnalato questo difetto Microsoft più di un anno fa e questo difetto che saranno discussi durante il colloquio del Cappello Nero, fonti hanno confermato lunedì.
Un portavoce di Microsoft ha rifiutato di dire quanti controlli ActiveX sono garantiti tramite il kill bit meccanismo spiegando che l'azienda "non dispone di ulteriori informazioni da condividere su questo problema," fino a quando la patch vengono rilasciate. Ma Schutze detto che non ci sono abbastanza che il martedì cerotto deve essere applicato il più presto possibile. "Se non si applicano a questo, è come ti ho disinstallato 30 le patch precedenti," ha detto.
Smith ha rifiutato di commentare per questa storia, dicendo che non è stato permesso di discutere la questione davanti al suo Cappello Nero parlare. Gli altri due ricercatori coinvolti nel lavoro di presentazione per IBM. E mentre IBM ha rifiutato di rendere disponibili per il commento lunedì, società portavoce Jennifer Knecht confermato che il mercoledì Nero Cappello di parlare è legato a Microsoft martedì di patch.
Autore: Keylogger.Org Team