מיקרוסופט ממהרת לתקן את IE Kill-bit עקיפה

מיקרוסופט כבר נאלץ להנפיק תיקוני חירום עבור מערכת ההפעלה של Windows לאחר שחוקרים גילו דרך לעקוף את מנגנון האבטחה הקריטי בדפדפן Internet Explorer.

במהלך יום רביעי בשיחת ה- Black Hat בכנס בלאס וגאס, חוקרים מארק דאוד, ריאן סמית ' ו David Dewey יראה דרך לעקוף את 'kill-bit' מנגנון המשמש להשבית buggy פקדי ActiveX. הדגמת וידאו שפורסמה על ידי סמית 'מראה כיצד החוקרים הצליחו לעקוף את המנגנון, אשר בודק פקדי ActiveX שאינם מורשים לפעול ב- Windows. לאחר מכן הם הצליחו לנצל את פקד ActiveX באגי כדי להפעיל תוכנית לא מורשית על המחשב של הקורבן.

למרות שהחוקרים לא חשפו את הפרטים הטכניים מאחורי העבודה שלהם, זה באג יכול להיות עניין גדול, נותן האקרים דרך של ניצול בעיות ב- ActiveX שנחשבו בעבר כממוזגות באמצעות חיסולים.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

"זה ענק, כי אז אתה יכול לבצע פקדים על הקופסה כי weren "לא נועד להיות מוצא להורג", אמר אריק שולצה, קצין הטכנולוגיה הראשי עם Shavlik Technologies. "אז על ידי ביקור באתר אינטרנט רע [פושעים] יכול לעשות כל מה שהם רוצים למרות החלת את התיקון."

מיקרוסופט בדרך כלל בעיות אלה להרוג סיביות כדרך מהירה לאבטחת Internet Explorer מפני התקפות לנצל את הכרכרה תוכנת ActiveX. הרישום של Windows מקצה ל- ActiveX פקדים ייחודיים, הנקראים GUIDs (מזהים ייחודיים גלובליים). מנגנון kill-bit מסמן רשימות GUID מסוימות ברישום של Windows, כך שלא ניתן להפעיל את הרכיבים.

על-פי מקורות המוכרים לנושא, מיקרוסופט נוקטת בצעד יוצא דופן של שחרור תיקון חירום עבור הבאג ביום שלישי. בדרך כלל, מיקרוסופט משחררת רק תיקונים מסוג "out-of-cycle" כאשר האקרים מנצלים את הפגם בהתקפות בעולם האמיתי. אבל במקרה זה פרטי הפגם עדיין סודיים, ומיקרוסופט אמרה כי ההתקפה אינה בשימוש בהתקפות. "זה בטח הפחיד באמת את מיקרוסופט", אמר שולצה, כשהוא מעלה השערות על הסיבות לכך שמיקרוסופט אולי הוציאה של תיקוני מעגל. אולי זה משקף גם בעיית יחסי ציבור מביכה עבור מיקרוסופט, שעובדת באופן הדוק יותר עם חוקרי אבטחה בשנים האחרונות. אם מיקרוסופט ביקשה מהחוקרים לדחות את הדיבור שלהם, עד שהחברה הבאה של תיקונים קבועים - בשל ה -11 באוגוסט - ייתכן שהחברה עמדה בפני תגובה חריפה על כך שדחיקה את המחקר של Black Hat. פרטים על תיקוני החירום, אשר נועדו להשתחרר ביום שלישי בשעה 10:00 בבוקר החוף המערבי.

בסוף יום שישי האחרון, החברה אמרה שזה מתוכנן לשחרר תיקון קריטי עבור Internet Explorer כמו גם הקשורים Visual Studio עם זאת, הבעיה המאפשרת לחוקרים לעקוף את מנגנון ה- kill-bit עשויה להימצא במרכיב Windows נפוץ הנקרא ספריית התבניות הפעילה (ATL). לדברי חוקר אבטחה הלוואר פלייק, זה פגם גם אשם באג ActiveX כי מיקרוסופט זיהתה מוקדם יותר החודש. מיקרוסופט הוציאה תיקוני סיביות עבור הבעיה ב -14 ביולי, אך לאחר בדיקה של הבאג, פלייק קבעה כי התיקון לא פותר את הפגיעות הבסיסית.

אחד החוקרים שהוצגו ב- Black Hat, Ryan Smith, דיווח זה פגם של מיקרוסופט יותר מאשר לפני שנה ואת הפגם הזה יידונו במהלך השיחה Black Hat, מקורות אישר יום שני.

דובר מיקרוסופט סירב לומר כמה פקדי ActiveX מובטחות באמצעות מנגנון kill-bit המסביר כי החברה "אין מידע נוסף לשיתוף בנושא זה", עד שהתיקונים ישוחררו. אבל Schutze אמר שיש מספיק כי תיקון יום שלישי צריך להיות מיושם בהקדם האפשרי. "אם לא תחיל את זה, זה כאילו הסרת 30 טלאים קודמים", הוא אומר.סמית סירב להגיב על הסיפור הזה, ואמר שהוא לא הורשה לדון בעניין לפני שיחת Black Hat שלו. שני החוקרים האחרים המעורבים במצגת עובדים עבור יבמ. ובעוד יבמ סירבה להפוך אותם זמינים לתגובה יום שני, דוברת החברה ג 'ניפר קנכט אישר כי יום רביעי בלק האט מדבר על תיקוני יום שלישי של מיקרוסופט.