Microsoft Rushes upang Ayusin ang IE Kill-bit na Bypass Attack

Sa isang talk Wednesday sa kumperensya ng Black Hat sa linggong ito sa Las Vegas, ang mga mananaliksik na si Mark Dowd, Ryan Smith at ipapakita ni David Dewey ang isang paraan ng pag-bypass sa mekanismo ng 'kill-bit' na ginagamit upang hindi paganahin ang mga kontrol ng ActiveX ng maraming sasakyan. Ipinapakita ng isang pagtatanghal ng video na inilathala ni Smith si Smith kung paano naiwasan ng mga mananaliksik ang mekanismo, na sumusuri para sa mga kontrol ng ActiveX na hindi pinapayagan na tumakbo sa Windows. Nagawa nilang pagkatapos na gamitin ang isang buggy ActiveX control upang magpatakbo ng isang hindi awtorisadong programa sa computer ng isang biktima.

Kahit na ang mga mananaliksik ay hindi nagsiwalat ng mga teknikal na detalye sa likod ng kanilang trabaho, bug na ito ay maaaring maging isang malaking deal, pagbibigay ng mga hacker isang paraan ng paggamit ng mga problema sa ActiveX na naunang naisip na pinagaan sa pamamagitan ng mga kill-bits.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Napakalaking dahil pagkatapos ay maaari mong isagawa ang mga kontrol sa kahon na nakita Hindi nilayon na maisakatuparan, "sabi ni Eric Schultze, chief technology officer na may Shavlik Technologies. "Kaya sa pamamagitan ng pagbisita sa isang masamang Web site [mga kriminal] ay maaaring gawin ang anumang nais nila kahit na inilapat ko ang patch."

Karaniwan ang mga isyu sa Microsoft ng mga pumatay-bit na mga tagubilin na ito bilang isang mabilis na paraan ng pag-secure ng Internet Explorer mula sa mga pag-atake na pagsamantalahan ang maraming surot ActiveX software. Ang Windows Registry ay nagtatalaga ng mga kontrol ng ActiveX na natatanging mga numero, na tinatawag na GUID (globally unique identifier). Ang mekanismo ng pumatay-bit ay nagtatala ng ilang mga GUID sa registry ng Windows upang ang mga bahagi ay hindi maaaring tumakbo.

Ayon sa mga mapagkukunan na pamilyar sa bagay na ito, ang Microsoft ay kumukuha ng di-pangkaraniwang hakbang ng paglabas ng emergency patch para sa bug sa Martes. Karaniwang inilalabas lamang ng Microsoft ang mga "out-of-cycle" na patches na ito kapag pinagsasamantala ng mga hacker ang kapintasan sa mga pag-atake sa real-world. Ngunit sa kasong ito ang mga detalye ng depekto ay lihim pa rin at sinabi ng Microsoft na ang pag-atake ay hindi ginagamit sa pag-atake.

"Tiyak na talagang natatakot ito sa Microsoft," sabi ni Schultze, na nagsasabing kung bakit inilabas ng Microsoft ang out - ng mga patches sa cycle.

Maaari rin itong magpakita ng isang mahirap na problema sa relasyon sa publiko para sa Microsoft, na nagtatrabaho nang mas malapit sa mga mananaliksik sa seguridad sa mga nakaraang taon. Kung hiniling ng Microsoft ang mga mananaliksik na ipagpatuloy ang kanilang pakikipag-usap hanggang sa susunod na set ng regular na naka-iskedyul na mga patches ng kumpanya - dahil sa Agosto 11 - maaaring nahaharap ang kumpanya sa backlash dahil pinigilan ang pananaliksik ng Black Hat.

Nagbigay mismo ang Microsoft ang mga detalye sa mga emergency patches, na itinakda na ilalabas sa Martes sa 10:00 ng West coast oras.

Late noong nakaraang Biyernes, sinabi ng kumpanya na ito ay binalak na ilabas ang isang kritikal na ayusin para sa Internet Explorer pati na rin ang kaugnay na Visual Studio Ang patch ay "moderate."

Gayunpaman, ang problema na nagpapahintulot sa mga mananaliksik na mag-bypass sa mekanismo ng kill-bit ay maaaring nasa isang malawakang ginagamit na bahagi ng Windows na tinatawag na Active Template Library (ATL). Ayon sa tagapagpananaliksik ng seguridad na Halvar Flake, ang kapintasan na ito ay sinisisi din para sa isang bug ActiveX na tinukoy ng Microsoft nang mas maaga sa buwan na ito. Nagbigay ang Microsoft ng patch ng kill-bit para sa problema noong Hulyo 14, ngunit pagkatapos na makita ang bug, tinukoy ng Flake na ang patch ay hindi nag-aayos ng pinagbabatayan na kahinaan.

Ang isa sa mga mananaliksik na nagtatanghal sa Black Hat, si Ryan Smith, ay iniulat ang kapintasan na ito sa Microsoft higit sa isang taon na ang nakalipas at ang kapintasan na ito ay tatalakayin sa panahon ng talk ng Black Hat, pinagtitibay ng mga pinagkukunan ng Lunes.

Ang isang tagapagsalita ng Microsoft ay tinanggihan upang sabihin kung gaano karaming mga kontrol ng ActiveX ang sinigurado sa pamamagitan ng mekanismo ng kill-bit na nagpapaliwanag na ang kumpanya "ay walang karagdagang impormasyon upang ibahagi ang tungkol sa isyung ito," hanggang ang mga patch ay inilabas. Subalit sinabi ni Schutze na sapat na ang patch ng Martes ay dapat ilapat sa lalong madaling panahon. "Kung hindi mo magamit ito, ito ay tulad ng iyong na-uninstall 30 mas maaga patches," sinabi niya.

Tumanggi si Smith na magkomento para sa kuwentong ito, na nagsasabi na hindi siya pinahintulutan na talakayin ang bagay na nauna sa kanyang Black Hat talk. Ang iba pang dalawang mananaliksik na kasangkot sa pagtatanghal sa trabaho para sa IBM. At habang tinanggihan ng IBM na gawing available ang mga ito para sa komento Lunes, kinumpirma ng spokeswoman ng kumpanya na si Jennifer Knecht na ang talk sa Miyerkules Black Hat ay may kaugnayan sa mga patch ng Microsoft noong Martes.