Microsoft противится, чтобы исправить IE Kill-bit Bypass Attack

Microsoft была вынуждены выпускать аварийные исправления для своей операционной системы Windows после того, как исследователи обнаружили способ обойти критический механизм безопасности в браузере Internet Explorer.

Во время обсуждения в среду на конференции Black Hat на этой неделе в Лас-Вегасе исследователи Марк Доуд, Райан Смит и Дэвид Дьюи покажет способ обойти механизм «бит-бит», используемый для отключения багги-элементов ActiveX. Видео-демонстрация, опубликованная Смитом, показывает, как исследователи смогли обойти механизм, который проверяет элементы управления ActiveX, которые не могут запускаться в Windows. Затем им удалось использовать баггированный элемент управления ActiveX для запуска несанкционированной программы на компьютере жертвы.

Хотя исследователи не обнаружили технических деталей, стоящих за их работой, эта ошибка может быть большой проблемой, предоставляя хакерам путь из-за использования проблем ActiveX, которые ранее считались смягченными с помощью бит-бит.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

«Это огромно, потому что тогда вы можете выполнять элементы управления на ящике, «Предполагалось, что это будет выполнено», - сказал Эрик Шульце, главный технический директор Shavlik Technologies. «Таким образом, посетив зловещий веб-сайт [преступники], он может делать все, что захочет, даже несмотря на то, что я применил исправление».

Microsoft обычно выпускает эти инструкции с бит-битами как быстрый способ защиты Internet Explorer от атак, которые используют багги Программное обеспечение ActiveX. Реестр Windows назначает уникальные номера элементов управления ActiveX, называемые идентификаторами GUID (глобально уникальные идентификаторы). Механизм kill-bit черным списком определенных GUID в реестре Windows, так что компоненты не могут быть запущены.

По словам источников, знакомых с этим вопросом, Microsoft делает необычный шаг по выпуску аварийного патча для ошибки во вторник. Microsoft обычно выпускает эти «вне цикла» исправления, когда хакеры используют недостатки в реальных атаках. Но в этом случае детали недостатка по-прежнему остаются секретными, и Microsoft заявила, что атака не используется в атаках.

«Это, должно быть, действительно напугало Microsoft», - сказал Шульце, размышляя о том, почему Microsoft, возможно, выпустила -факты цикла.

Это может также отражать неудобную проблему связей с общественностью для Microsoft, которая в последние годы работает более тесно с исследователями безопасности. Если бы Microsoft попросила исследователей отложить свои разговоры до следующего набора регулярных плановых обновлений компании - из-за 11 августа компания могла столкнуться с обратным вызовом для того, чтобы подавить исследование Black Hat.

Microsoft сама предоставила несколько подробности о срочных патчах, которые должны быть выпущены во вторник в 10:00 по западному побережью.

В конце прошлой пятницы компания заявила, что планирует выпустить критическое исправление для Internet Explorer, а также соответствующую Visual Studio патч с рейтингом «умеренный».

Однако проблема, которая позволяет исследователям обойти механизм «бит-бит», может лежать в широко используемом компоненте Windows, который называется «Библиотека активных шаблонов» (ATL). По словам исследователя безопасности Халвара Флэка, этот недостаток также виноват в ошибке ActiveX, обнаруженной Microsoft ранее в этом месяце. Microsoft выпустила пакет исправлений для этой проблемы 14 июля, но после изучения ошибки Flake решил, что исправление не устраняет уязвимость, лежащую в основе.

Один из исследователей из Black Hat, Райан Смит, сообщил этот недостаток для Microsoft более года назад, и этот недостаток будет обсуждаться во время обсуждения Black Hat, сообщили источники в понедельник.

Представитель Microsoft отказался сказать, сколько элементов управления ActiveX обеспечивается с помощью механизма бит-бит, объясняющего, что компания «не имеет дополнительной информации, чтобы поделиться этой проблемой», пока не будут выпущены исправления. Но Шутце сказал, что достаточно, чтобы патч вторника должен быть применен как можно скорее. «Если вы не применяете это, это похоже на то, что вы удалили 30 ранних исправлений», - сказал он.

Смит отказался комментировать эту историю, заявив, что ему не разрешили обсуждать этот вопрос перед его разговором с Black Hat. Другие два исследователя участвовали в презентации для IBM. И хотя IBM отказалась сделать их доступными для комментариев в понедельник, пресс-секретарь компании Дженнифер Кнехт подтвердила, что в среду Black Hat говорят о вторжениях Microsoft во вторник.