Ασφάλεια

Οι ερευνητές βρήκαν έναν τρόπο να παρακάμψουν την προστασία του killbit της Microsoft. αναγκάστηκε να εκδώσει ενημερωμένες εκδόσεις για το λειτουργικό σύστημα των Windows, όταν οι ερευνητές ανακάλυψαν έναν τρόπο να παρακάμψουν έναν κρίσιμο μηχανισμό ασφαλείας στο πρόγραμμα περιήγησης Internet Explorer.

Κατά τη διάρκεια μιας ομιλίας την Τετάρτη στο συνέδριο Black Hat στο Λας Βέγκας, οι ερευνητές Mark Dowd, Ryan Smith και ο David Dewey θα δείξει έναν τρόπο παράκαμψης του μηχανισμού "kill-bit" που χρησιμοποιείται για την απενεργοποίηση των ελέγχων ActiveX buggy. Μια επίδειξη βίντεο που δημοσιεύτηκε από τον Smith δείχνει πώς οι ερευνητές μπόρεσαν να παρακάμψουν τον μηχανισμό, ο οποίος ελέγχει τα στοιχεία ελέγχου ActiveX που δεν επιτρέπεται να εκτελούνται σε Windows. Μπορούσαν να εκμεταλλευτούν έπειτα ένα bug ActiveX έλεγχο για να εκτελέσει ένα μη εξουσιοδοτημένο πρόγραμμα στον υπολογιστή του θύτη.

Αν και οι ερευνητές δεν έχουν αποκαλύψει τις τεχνικές λεπτομέρειες πίσω από το έργο τους, αυτό το σφάλμα θα μπορούσε να είναι μια μεγάλη υπόθεση, δίνοντας στους χάκερς έναν τρόπο από την εξάσκηση των προβλημάτων ActiveX που είχαν προηγουμένως θεωρηθεί ότι έχουν μετριαστεί μέσω kill-bits.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

"Είναι τεράστιο γιατί τότε μπορείτε να εκτελέσετε ελέγχους στο κουτί που δεν ήταν δεν πρόκειται να εκτελεστεί », δήλωσε ο Eric Schultze, επικεφαλής της τεχνολογίας με την Shavlik Technologies. "Έτσι, επισκέπτοντας μια κακή τοποθεσία Web [εγκληματίες] μπορούν να κάνουν ό, τι θέλουν, παρόλο που έχω εφαρμόσει την ενημερωμένη έκδοση κώδικα."

Η Microsoft συνήθως εκδίδει αυτές τις οδηγίες kill-bit ως έναν γρήγορο τρόπο εξασφάλισης του Internet Explorer από επιθέσεις που εκμεταλλεύονται buggy Λογισμικό ActiveX. Το μητρώο των Windows εκχωρεί στους ελέγχους ActiveX μοναδικούς αριθμούς, που ονομάζονται GUID (παγκοσμίως μοναδικά αναγνωριστικά). Ο μηχανισμός kill-bit μαύρης λίστας εμφανίζει ορισμένους GUID στο μητρώο των Windows, έτσι ώστε να μην είναι δυνατή η εκτέλεση των στοιχείων.

Σύμφωνα με πηγές που είναι εξοικειωμένες με το θέμα, η Microsoft κάνει το ασυνήθιστο βήμα για την απελευθέρωση μιας ενημερωμένης έκδοσης έκτακτης ανάγκης για το σφάλμα την Τρίτη. Η Microsoft τυπικά απελευθερώνει μόνο αυτά τα μπαλώματα εκτός κύκλου όταν οι χάκερ εκμεταλλεύονται το ελάττωμα σε πραγματικές επιθέσεις. Αλλά σε αυτή την περίπτωση οι λεπτομέρειες του ελαττώματος εξακολουθούν να είναι μυστικές και η Microsoft δήλωσε ότι η επίθεση δεν χρησιμοποιείται σε επιθέσεις.

Μπορεί επίσης να αντικατοπτρίζει ένα δύσκολο πρόβλημα δημοσίων σχέσεων για τη Microsoft, η οποία συνεργάζεται στενότερα με τους ερευνητές της ασφάλειας τα τελευταία χρόνια. Εάν η Microsoft είχε ζητήσει από τους ερευνητές να σταματήσουν την ομιλία τους μέχρι την επόμενη σειρά τακτικών προγραμματισμένων διορθώσεων - την 11η Αυγούστου - η εταιρεία ενδέχεται να αντιμετώπισε αντιδράσεις για την καταστολή της έρευνας Black Hat.

λεπτομέρειες σχετικά με τα patches έκτακτης ανάγκης, τα οποία πρόκειται να κυκλοφορήσουν την Τρίτη στις 10:00 π.μ. ώρα Δυτικής ακτής.

Τέλη της περασμένης Παρασκευής, η εταιρεία δήλωσε ότι σχεδιάζει να κυκλοφορήσει μια κρίσιμη λύση για τον Internet Explorer καθώς και ένα σχετικό Visual Studio Ωστόσο, το πρόβλημα που επιτρέπει στους ερευνητές να παρακάμψουν τον μηχανισμό kill-bit μπορεί να βρίσκεται σε ένα ευρέως χρησιμοποιούμενο στοιχείο των Windows που ονομάζεται Βιβλιοθήκη ενεργών προτύπων (ATL). Σύμφωνα με τον ερευνητή ασφάλειας Halvar Flake, αυτό το ελάττωμα είναι επίσης φταίξιμο για ένα σφάλμα ActiveX που εντοπίστηκε από την Microsoft νωρίτερα αυτό το μήνα. Η Microsoft εξέδωσε μια ενημερωμένη έκδοση κώδικα για το πρόβλημα στις 14 Ιουλίου, αλλά μετά από να εξετάσει το σφάλμα, ο Flake διαπίστωσε ότι η ενημερωμένη έκδοση κώδικα δεν έβλεπε την υποκείμενη ευπάθεια.

Ένας από τους ερευνητές που παρουσίασαν στο Black Hat Ryan Smith αυτό το ελάττωμα για τη Microsoft πριν από περισσότερο από ένα χρόνο και αυτό το ελάττωμα θα συζητηθεί κατά τη διάρκεια της συζήτησης του Black Hat, επιβεβαίωσαν οι πηγές τη Δευτέρα.

Ένας εκπρόσωπος της Microsoft αρνήθηκε να πει πόσοι έλεγχοι ActiveX είναι εξασφαλισμένοι μέσω του μηχανισμού kill-bit εξηγώντας ότι η εταιρεία "δεν έχει πρόσθετες πληροφορίες για να μοιραστεί αυτό το ζήτημα", έως ότου απελευθερωθούν τα μπαλώματα. Αλλά ο Schutze είπε ότι υπάρχουν αρκετά που πρέπει να εφαρμοστούν το βράδυ της Τρίτης το συντομότερο δυνατό. "Εάν δεν το εφαρμόζετε, είναι σαν να έχετε απεγκαταστήσει 30 προηγούμενες ενημερώσεις κώδικα", δήλωσε.

Ο Σμιθ αρνήθηκε να σχολιάσει αυτήν την ιστορία, λέγοντας ότι δεν του επιτρεπόταν να συζητήσει το ζήτημα μπροστά από την ομιλία του στο Black Hat. Οι άλλοι δύο ερευνητές συμμετείχαν στην παρουσίαση της IBM. Και ενώ η IBM αρνήθηκε να τις κάνει διαθέσιμες για σχόλια τη Δευτέρα, η εκπρόσωπος της εταιρείας Jennifer Knecht επιβεβαίωσε ότι η συζήτηση της Τετάρτης Black Hat σχετίζεται με τα εγκαίνια της Microsoft την Τρίτη