Microsoft Rushes to Fix IE Kill-bit Bypass Attack

Semasa ceramah Rabu di persidangan Black Hat minggu ini di Las Vegas, penyelidik Mark Dowd, Ryan Smith dan David Dewey akan menunjukkan cara memintas mekanisme 'kill-bit' yang digunakan untuk melumpuhkan kawalan ActiveX kereta. Demonstrasi video yang diposting oleh Smith menunjukkan bagaimana para penyelidik dapat memintas mekanisme, yang memeriksa kontrol ActiveX yang tidak dibenarkan berjalan di Windows. Mereka berjaya mengeksploitasi kawalan ActiveX kereta untuk menjalankan program tanpa izin pada komputer mangsa.

Walaupun penyelidik tidak mendedahkan butiran teknikal di belakang kerja mereka, bug ini boleh menjadi masalah besar, memberikan penggodam dengan cara daripada mengeksploitasi masalah ActiveX yang sebelum ini dianggap telah dikurangkan melalui bunuh-bit.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

"Ini sangat besar kerana kemudian anda boleh melaksanakan kawalan pada kotak yang 't bermaksud untuk dilaksanakan, "kata Eric Schultze, ketua pegawai teknologi dengan Shavlik Technologies. "Jadi dengan melawat laman web jahat [penjenayah] boleh melakukan apa sahaja yang mereka mahu walaupun saya telah memohon patch."

Microsoft sering mengeluarkan arahan-arahan membunuh ini sebagai cara cepat untuk mendapatkan Internet Explorer dari serangan yang mengeksploitasi buggy Perisian ActiveX. Registri Windows menetapkan ActiveX mengendalikan nombor unik, dipanggil GUID (pengecam unik di seluruh dunia). Mekanisme pembunuh itu menyenaraikan GUID tertentu dalam registri Windows supaya komponen tidak dapat dijalankan.

Menurut sumber yang biasa dengan perkara itu, Microsoft mengambil langkah luar biasa untuk melepaskan patch kecemasan untuk bug pada hari Selasa. Microsoft biasanya hanya mengeluarkan patch "out-of-cycle" ini apabila penggodam mengeksploitasi kekurangan dalam serangan dunia sebenar. Tetapi dalam kes ini butir-butir kecacatan masih rahsia dan Microsoft mengatakan bahawa serangan itu tidak digunakan dalam serangan.

"Ini pasti telah benar-benar menakutkan Microsoft," kata Schultze berkata, berspekulasi tentang mengapa Microsoft mungkin telah mengeluarkan keluar - daripada patch kitaran.

Ia juga mungkin mencerminkan masalah perhubungan awam yang canggung untuk Microsoft, yang telah bekerja lebih rapat dengan penyelidik keselamatan dalam beberapa tahun kebelakangan ini. Sekiranya Microsoft telah meminta para penyelidik untuk menangguhkan perbincangan mereka sehingga set berikutnya kumpulan syarikat teratur dijadualkan - kerana 11 Ogos - syarikat itu mungkin menghadapi serangan balik kerana telah menindas penyelidikan Black Hat.

Microsoft sendiri telah menyediakan beberapa butir-butir mengenai patch kecemasan, yang akan dikeluarkan pada hari Selasa pada pukul 10:00 pagi waktu pantai barat.

Jumaat lepas, syarikat itu merancang untuk melepaskan fix kritis untuk Internet Explorer serta Visual Studio yang berkaitan patch dinilai "sederhana."

Walau bagaimanapun, masalah yang membolehkan penyelidik memintas mekanisme membunuh-bit mungkin terletak pada komponen Windows yang digunakan secara meluas yang dikenali sebagai Perpustakaan Templat Aktif (ATL). Menurut penyelidik keselamatan Halvar Flake, kecacatan ini juga harus dipersalahkan kerana bug ActiveX yang dikenalpasti Microsoft awal bulan ini. Microsoft mengeluarkan patch membunuh-bit untuk masalah itu pada 14 Julai, tetapi selepas melihat ke dalam bug, Flake memutuskan bahawa patch itu tidak membaiki kerentanan yang mendasari.

Salah seorang penyelidik yang menyampaikan di Black Hat, Ryan Smith, melaporkan jurubicara Microsoft enggan menyatakan berapa banyak kawalan ActiveX yang terjamin melalui mekanisme pembunuh-bit yang menerangkan bahawa syarikat itu "tidak mempunyai maklumat tambahan untuk berkongsi tentang isu ini," sehingga patch dibebaskan. Tetapi Schutze berkata bahawa terdapat cukup bahawa patch Selasa harus diterapkan secepat mungkin. "Jika anda tidak memakai ini, ia seperti anda telah menyahpasang 30 patch sebelumnya," katanya.

Smith enggan mengulas mengenai kisah ini, dengan mengatakan dia tidak dibenarkan membincangkan perkara itu sebelum bercakap Black Hat. Dua lagi penyelidik yang terlibat dalam kerja persembahan untuk IBM. Dan sementara IBM menolak untuk membuat mereka tersedia untuk komen Isnin, jurucakap syarikat Jennifer Knecht mengesahkan bahawa ceramah Rabu Black Hat berkaitan dengan patch Selasa Microsoft.