Microsoft Rushes fixar IE Kill-bit Bypass Attack

Microsoft har varit tvingas att utfärda nödlåsningar för sitt Windows-operativsystem efter att forskarna upptäckt ett sätt att kringgå en kritisk säkerhetsmekanism i Internet Explorer-webbläsaren.

Under en onsdagssamtal vid den här veckans Black Hat-konferens i Las Vegas har forskare Mark Dowd, Ryan Smith och David Dewey kommer att visa ett sätt att kringgå "kill-bit" -mekanismen som används för att inaktivera ActiveX-kontroller av buggy. En videodemonstration som publiceras av Smith visar hur forskarna kunde kringgå mekanismen, som kontrollerar ActiveX-kontroller som inte får köras på Windows. De kunde då utnyttja en buggy ActiveX-kontroll för att driva ett obehörigt program på ett offerdatas dator. Även om forskarna inte har avslöjat de tekniska detaljerna bakom sitt arbete, kan det här vara en stor sak, vilket ger hackare en väg

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Det är enormt för att du då kan utföra kontroller på den låda som weren Jag tänkte bli verkställd, säger Eric Schultze, chefstekniker med Shavlik Technologies. "Så, genom att besöka en ond webbplats [brottslingar] kan göra vad de vill ha trots att jag har använt patchen."

Microsoft utfärdar vanligtvis dessa dödsinstruktioner som ett snabbt sätt att säkra Internet Explorer från attacker som utnyttjar buggy ActiveX-programvara. Windows-registret tilldelar ActiveX-kontroller unika nummer, kallade GUID (globalt unika identifierare). Kill-bit-mekanismen blacklist vissa GUID-filer i Windows-registret så att komponenterna inte kan köras.

Enligt källor som är bekant med saken, tar Microsoft det ovanliga steget att släppa en nödsituation för felet på tisdag. Microsoft släpper typiskt bara dessa "out-of-cycle" -patchar när hackare utnyttjar felet i verkliga attacker. Men i det här fallet är detaljerna i felet fortfarande hemliga och Microsoft sa att attacken inte används i attacker.

"Det måste verkligen ha skrämmat Microsoft", sa Schultze och spekulerade på varför Microsoft kanske hade utfärdat

Det kan också återspegla ett besvärligt public relationsproblem för Microsoft, som har arbetat närmare med säkerhetsforskare de senaste åren. Om Microsoft hade bett forskarna att hålla sig kvar i sitt samtal tills bolagets nästa uppsättning regelbundna plåster - den 11 augusti - kunde företaget ha blivit bakslag för att ha undertryckt Black Hat-undersökningen.

Microsoft har försett några detaljer om nödsituationerna, som kommer att släppas tisdag klockan 10:00 på västkusten.

Senast fredag ​​sade företaget att det planerade att släppa en kritisk åtgärd för Internet Explorer samt en relaterad Visual Studio patch-värdet "moderat".

Problemet som låter forskarna kringgå kill-bit-mekanismen kan dock ligga i en mycket använd Windows-komponent som kallas Active Template Library (ATL). Enligt säkerhetsforskare Halvar Flake, är det också fel att skylla för en ActiveX-fel som Microsoft identifierade tidigare denna månad. Microsoft utfärdade en dödbit patch för problemet den 14 juli, men efter att ha tittat på buggen bestämde Flake att plåstret inte klarade den underliggande sårbarheten.

En av forskarna som presenterade Black Hat, Ryan Smith, rapporterade den här felet till Microsoft för mer än ett år sedan och den här felet kommer att diskuteras under Black Hat-talet, bekräftas källor på måndag.

En Microsoft-talesman nekade att säga hur många ActiveX-kontroller som säkras genom kill-bit-mekanismen som förklarar att företaget "har inte ytterligare information att dela om problemet" tills patcharna släpps. Men Schutze sa att det finns tillräckligt att tisdagskortet ska tillämpas så snart som möjligt. "Om du inte tillämpar detta, är det som om du har avinstallerat 30 tidigare korrigeringar," sa han.

Smith nekade att kommentera den här historien och sa att han inte fick diskutera saken framför Black Hat-samtalet. De andra två forskarna deltog i presentationsarbetet för IBM. Och medan IBM nekade att göra dem tillgängliga för kommentarer måndag, bekräftade företagets talesman Jennifer Knecht att onsdagen Black Hat-samtalet är relaterat till Microsofts tisdagspatcher.