Microsoft спешит исправить IE kill-bit bypass attack
Microsoft была вынуждена выпустить экстренные исправления для своей операционной системы Windows после того, как исследователи обнаружили способ обойти критический механизм безопасности в браузере Internet Explorer.
Во время выступления в среду на конференции Black Hat conference на этой неделе в Лас-Вегасе исследователи Марк Дауд, Райан Смит и Дэвид Дьюи покажут способ обхода механизма "убить бит", используемого для отключения глючных элементов управления ActiveX. Видео-демонстрация posted by Smith показывает, как исследователям удалось обойти механизм, который проверяет наличие элементов ActiveX, которые не разрешены для запуска в Windows. Затем они смогли использовать глючный элемент управления ActiveX для запуска несанкционированной программы на компьютере жертвы.
Хотя исследователи не раскрыли технические детали своей работы, эта ошибка может иметь большое значение, давая хакерам возможность использовать проблемы ActiveX, которые ранее считались смягченными с помощью килл-битов.
"Он огромен, потому что тогда вы можете выполнить элементы управления на коробке, которые не были предназначены для выполнения", - сказал Эрик Шульце, главный технический директор shavlik Technologies. "Таким образом, посетив злой веб-сайт [преступники] могут делать все, что они хотят, даже если я применил патч. "
Microsoft обычно выпускает эти инструкции kill-bit в качестве быстрого способа защиты Internet Explorer от атак, использующих глючное программное обеспечение ActiveX. Реестр Windows присваивает элементам управления ActiveX уникальные номера, называемые GUID (глобально уникальные идентификаторы). Механизм kill-bit содержит черные списки определенных GUID в реестре Windows, так что компоненты не могут быть запущены.
По словам источников, знакомых с этим вопросом, Microsoft предпринимает необычный шаг-выпускает экстренный патч для жучка во вторник. Microsoft обычно выпускает эти патчи" вне цикла " только тогда, когда хакеры используют этот недостаток в реальных атаках. Но в данном случае детали дефекта все еще остаются секретными, и Microsoft заявила, что атака не используется в атаках.
"Это, должно быть, действительно напугало Microsoft",-сказал Шульце, размышляя о том, почему Microsoft могла выпустить патчи вне цикла.
Это также может отражать неудобную проблему связей с общественностью для Microsoft, которая в последние годы работает более тесно с исследователями безопасности. Если бы Microsoft попросила исследователей отложить их разговор до следующего набора регулярно запланированных исправлений компании-до 11 августа - компания могла бы столкнуться с негативной реакцией за то, что подавила исследование Black Hat.
Сама Microsoft предоставила несколько подробностей о чрезвычайных патчах,которые должны быть выпущены во вторник в 10: 00 утра по времени западного побережья.
Поздно вечером в прошлую пятницу компания сообщила: он планировал выпустить критическое исправление для Internet Explorer, а также связанный с ним патч Visual Studio с рейтингом "умеренный"."
Однако проблема, которая позволяет исследователям обойти механизм kill-bit, может заключаться в широко используемом компоненте Windows, называемом Active Template Library (ATL). По словам исследователя безопасности Халвара Флейка, этот недостаток также виноват в ошибке ActiveX, которую Microsoft выявила ранее в этом месяце. 14 июля Microsoft выпустила патч kill-bit для этой проблемы, но после изучения ошибки Flake определил, что патч не исправил основную уязвимость.
Один из исследователей, представленных в Black Hat, Райан Смит, сообщил об этом недостатке Microsoft более года назад, и этот недостаток будет обсуждаться во время беседы Black Hat, подтвердили источники в понедельник.
Представитель Microsoft отказался сообщить, сколько элементов ActiveX защищены с помощью механизма kill-bit, объяснив, что у компании "нет дополнительной информации, чтобы поделиться этой проблемой", пока патчи не будут выпущены. Но Шутце сказал, что есть достаточно, чтобы во вторник патч был применен как можно скорее. "Если вы не применяете это, это похоже на то, что вы удалили 30 предыдущих патчей", - сказал он.
Смит отказался комментировать эту историю, заявив, что ему не разрешено обсуждать этот вопрос до его выступления в черной шляпе. Два других исследователя, участвовавшие в презентации, работали на IBM. И хотя IBM отказалась предоставить их для комментариев в понедельник, пресс-секретарь компании Дженнифер Кнехт подтвердила, что разговор о черной шляпе в среду связан с патчами Microsoft во вторник.
Дата публикации: Во время выступления в среду на конференции Black Hat conference на этой неделе в Лас-Вегасе исследователи Марк Дауд, Райан Смит и Дэвид Дьюи покажут способ обхода механизма "убить бит", используемого для отключения глючных элементов управления ActiveX. Видео-демонстрация posted by Smith показывает, как исследователям удалось обойти механизм, который проверяет наличие элементов ActiveX, которые не разрешены для запуска в Windows. Затем они смогли использовать глючный элемент управления ActiveX для запуска несанкционированной программы на компьютере жертвы.
Хотя исследователи не раскрыли технические детали своей работы, эта ошибка может иметь большое значение, давая хакерам возможность использовать проблемы ActiveX, которые ранее считались смягченными с помощью килл-битов.
"Он огромен, потому что тогда вы можете выполнить элементы управления на коробке, которые не были предназначены для выполнения", - сказал Эрик Шульце, главный технический директор shavlik Technologies. "Таким образом, посетив злой веб-сайт [преступники] могут делать все, что они хотят, даже если я применил патч. "
Microsoft обычно выпускает эти инструкции kill-bit в качестве быстрого способа защиты Internet Explorer от атак, использующих глючное программное обеспечение ActiveX. Реестр Windows присваивает элементам управления ActiveX уникальные номера, называемые GUID (глобально уникальные идентификаторы). Механизм kill-bit содержит черные списки определенных GUID в реестре Windows, так что компоненты не могут быть запущены.
По словам источников, знакомых с этим вопросом, Microsoft предпринимает необычный шаг-выпускает экстренный патч для жучка во вторник. Microsoft обычно выпускает эти патчи" вне цикла " только тогда, когда хакеры используют этот недостаток в реальных атаках. Но в данном случае детали дефекта все еще остаются секретными, и Microsoft заявила, что атака не используется в атаках.
"Это, должно быть, действительно напугало Microsoft",-сказал Шульце, размышляя о том, почему Microsoft могла выпустить патчи вне цикла.
Это также может отражать неудобную проблему связей с общественностью для Microsoft, которая в последние годы работает более тесно с исследователями безопасности. Если бы Microsoft попросила исследователей отложить их разговор до следующего набора регулярно запланированных исправлений компании-до 11 августа - компания могла бы столкнуться с негативной реакцией за то, что подавила исследование Black Hat.
Сама Microsoft предоставила несколько подробностей о чрезвычайных патчах,которые должны быть выпущены во вторник в 10: 00 утра по времени западного побережья.
Поздно вечером в прошлую пятницу компания сообщила: он планировал выпустить критическое исправление для Internet Explorer, а также связанный с ним патч Visual Studio с рейтингом "умеренный"."
Однако проблема, которая позволяет исследователям обойти механизм kill-bit, может заключаться в широко используемом компоненте Windows, называемом Active Template Library (ATL). По словам исследователя безопасности Халвара Флейка, этот недостаток также виноват в ошибке ActiveX, которую Microsoft выявила ранее в этом месяце. 14 июля Microsoft выпустила патч kill-bit для этой проблемы, но после изучения ошибки Flake определил, что патч не исправил основную уязвимость.
Один из исследователей, представленных в Black Hat, Райан Смит, сообщил об этом недостатке Microsoft более года назад, и этот недостаток будет обсуждаться во время беседы Black Hat, подтвердили источники в понедельник.
Представитель Microsoft отказался сообщить, сколько элементов ActiveX защищены с помощью механизма kill-bit, объяснив, что у компании "нет дополнительной информации, чтобы поделиться этой проблемой", пока патчи не будут выпущены. Но Шутце сказал, что есть достаточно, чтобы во вторник патч был применен как можно скорее. "Если вы не применяете это, это похоже на то, что вы удалили 30 предыдущих патчей", - сказал он.
Смит отказался комментировать эту историю, заявив, что ему не разрешено обсуждать этот вопрос до его выступления в черной шляпе. Два других исследователя, участвовавшие в презентации, работали на IBM. И хотя IBM отказалась предоставить их для комментариев в понедельник, пресс-секретарь компании Дженнифер Кнехт подтвердила, что разговор о черной шляпе в среду связан с патчами Microsoft во вторник.
Автор: Keylogger.Org Команда
