Microsoft eilt zur Behebung des IE-Kill-Bit-Bypass-Angriffs

Während eines Mittwochs-Vortrags bei der Black-Hat-Konferenz in Las Vegas, Forscher Mark Dowd, Ryan Smith und David Dewey wird eine Möglichkeit zeigen, den "kill-bit" -Mechanismus zu umgehen, mit dem fehlerhafte ActiveX-Steuerelemente deaktiviert werden. Eine Videodemonstration von Smith zeigt, wie die Forscher den Mechanismus umgehen konnten, der nach ActiveX-Steuerelementen sucht, die unter Windows nicht ausgeführt werden dürfen. Sie konnten dann ein fehlerhaftes ActiveX-Steuerelement ausnutzen, um ein nicht autorisiertes Programm auf dem Computer eines Opfers auszuführen.

Obwohl die Forscher die technischen Details ihrer Arbeit nicht bekannt gegeben haben, könnte dieser Fehler eine große Sache sein und Hackern einen Weg geben der Ausnutzung von ActiveX-Problemen, von denen vorher angenommen wurde, dass sie durch Kill-Bits gemildert wurden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Es ist riesig, weil Sie dann Kontrollen auf der Box ausführen können "Ich wollte nicht ausgeführt werden", sagte Eric Schultze, Chief Technology Officer von Shavlik Technologies. "Durch den Besuch einer bösartigen Website können [Kriminelle] alles tun, was sie wollen, obwohl ich den Patch angewendet habe."

Microsoft stellt diese Kill-Bit-Anweisungen häufig als schnelle Möglichkeit zur Verfügung, Internet Explorer vor Angriffen zu schützen, die Buggy ausnutzen ActiveX-Software. Die Windows-Registrierung weist ActiveX-Steuerelementen eindeutige Nummern zu, die als GUIDs (global unique identifiers) bezeichnet werden. Der Kill-Bit-Mechanismus listet bestimmte GUIDs in der Windows-Registrierung auf, so dass die Komponenten nicht ausgeführt werden können.

Nach Quellen, die mit der Angelegenheit vertraut sind, unternimmt Microsoft den ungewöhnlichen Schritt, am Dienstag einen Notfall-Patch für den Bug herauszubringen. Normalerweise veröffentlicht Microsoft diese "außer-cycle" -Patches nur, wenn Hacker den Fehler in realen Angriffen ausnutzen. Aber in diesem Fall sind die Details des Fehlers immer noch geheim und Microsoft sagte, dass der Angriff nicht bei Angriffen eingesetzt wird.

"Das muss Microsoft wirklich erschreckt haben", sagte Schultze und spekulierte darüber, warum Microsoft das rausgegeben haben könnte -n-Zyklus-Patches.

Es könnte sich auch um ein unangenehmes PR-Problem für Microsoft handeln, das in den letzten Jahren enger mit Sicherheitsforschern zusammengearbeitet hat. Wenn Microsoft die Forscher gebeten hätte, ihren Vortrag bis zu den nächsten regelmäßig geplanten Patches des Unternehmens - fällig am 11. August - abzuhalten, hätte das Unternehmen möglicherweise mit Gegenreaktionen zu kämpfen gehabt, weil die Black Hat-Forschung unterdrückt wurde.

Microsoft selbst hat nur wenige zur Verfügung gestellt Details zu den Notfall-Patches, die am Dienstag um 10.00 Uhr West Coast Time veröffentlicht werden sollen.

Ende letzten Freitag gab das Unternehmen bekannt, dass es einen kritischen Fix für den Internet Explorer sowie ein damit verbundenes Visual Studio veröffentlichen werde Patch bewertet "moderat".

Das Problem, dass die Forscher den Kill-Bit-Mechanismus umgehen können, liegt jedoch in einer weit verbreiteten Windows-Komponente, der sogenannten "Active Template Library" (ATL). Laut Sicherheitsforscher Halvar Flake ist dieser Fehler auch für einen ActiveX-Bug verantwortlich, den Microsoft Anfang des Monats identifiziert hat. Microsoft hat am 14. Juli einen Kill-Bit-Patch für das Problem veröffentlicht, aber nachdem er den Bug untersucht hatte, stellte Flake fest, dass der Patch die zugrunde liegende Schwachstelle nicht behob.

Einer der Forscher bei Black Hat, Ryan Smith, berichtete Dieser Fehler für Microsoft vor mehr als einem Jahr und dieser Fehler wird während des Black Hat Talk diskutiert werden, Quellen Montag bestätigt.

Ein Microsoft-Sprecher lehnte es ab zu sagen, wie viele ActiveX-Steuerelemente über den Kill-Bit-Mechanismus gesichert sind, dass das Unternehmen zu erklären "Bis zum Erscheinen der Patches sind keine weiteren Informationen zu diesem Problem verfügbar." Aber Schütze sagte, dass es genug gibt, dass der Dienstag-Patch so schnell wie möglich angewendet werden sollte. "Wenn Sie das nicht anwenden, ist es so, als hätten Sie 30 frühere Patches deinstalliert", sagte er.

Smith lehnte es ab, für diese Geschichte zu kommentieren und sagte, dass es ihm nicht erlaubt sei, die Angelegenheit vor seinem Black-Hat-Gespräch zu diskutieren. Die anderen beiden an der Präsentation beteiligten Forscher arbeiten für IBM. Und während IBM sich weigerte, sie am Montag für einen Kommentar zur Verfügung zu stellen, bestätigte Firmensprecherin Jennifer Knecht, dass der Mittwoch-Black-Hat-Vortrag mit den Dienstag-Patches von Microsoft zusammenhängt.