Microsoft corre a risolvere IE Kill-bit Bypass attack

Microsoft è stato costretto a rilasciare patch di emergenza per il suo sistema operativo Windows dopo che i ricercatori hanno scoperto un modo per aggirare un meccanismo di sicurezza critico nel browser di Internet Explorer.

Durante un talk del mercoledì alla conferenza Black Hat di questa settimana a Las Vegas, i ricercatori Mark Dowd, Ryan Smith e David Dewey mostrerà un modo per aggirare il meccanismo 'kill-bit' usato per disabilitare i controlli ActiveX buggati. Una dimostrazione video pubblicata da Smith mostra come i ricercatori sono stati in grado di aggirare il meccanismo, che controlla i controlli ActiveX che non possono eseguire su Windows. Sono stati quindi in grado di sfruttare un controllo ActiveX bacato per eseguire un programma non autorizzato sul computer di una vittima.

Sebbene i ricercatori non abbiano rivelato i dettagli tecnici del loro lavoro, questo bug potrebbe essere un grosso problema, dando agli hacker un modo di sfruttare i problemi ActiveX che in precedenza si pensava fossero mitigati tramite kill-bit.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

"È enorme perché poi puoi eseguire controlli sulla scatola che non sono "Ho intenzione di essere giustiziato", ha dichiarato Eric Schultze, chief technology officer di Shavlik Technologies. "Così, visitando un sito Web malvagio [i criminali] possono fare tutto ciò che vogliono anche se ho applicato la patch."

Microsoft rilascia comunemente queste istruzioni kill-bit come un modo rapido per proteggere Internet Explorer dagli attacchi che sfruttano il buggy Software ActiveX. Il registro di Windows assegna controlli ActiveX a numeri univoci, chiamati GUID (identificatori univoci a livello globale). Il meccanismo del kill-bit oscura alcuni GUID nel registro di Windows in modo che i componenti non possano essere eseguiti.

Secondo fonti vicine all'argomento, Microsoft sta prendendo l'insolito passo per rilasciare una patch di emergenza per l'errore di martedì. Solitamente, Microsoft rilascia queste patch "fuori ciclo" quando gli hacker sfruttano il difetto negli attacchi del mondo reale. Ma in questo caso i dettagli della falla sono ancora segreti e Microsoft ha detto che l'attacco non viene utilizzato negli attacchi.

"Questo deve aver davvero spaventato Microsoft", ha detto Schultze, speculando sul motivo per cui Microsoft potrebbe aver rilasciato l'out -ciclo del ciclo.

Potrebbe anche riflettere un problema di pubbliche relazioni scomodo per Microsoft, che ha lavorato più a stretto contatto con i ricercatori di sicurezza negli ultimi anni. Se Microsoft avesse chiesto ai ricercatori di tenere a bada i loro discorsi fino alla prossima serie della compagnia di patch programmate regolarmente - a partire dall'11 agosto - la compagnia avrebbe potuto affrontare una reazione per aver soppresso la ricerca Black Hat.

Microsoft stessa ha fornito poche dettagli sulle patch di emergenza, che verranno rilasciate martedì alle 10:00, ora della costa occidentale.

Alla fine di venerdì scorso, la società ha annunciato di aver pianificato di rilasciare una correzione critica per Internet Explorer e un Visual Studio correlato patch classificato "moderato".

Tuttavia, il problema che consente ai ricercatori di aggirare il meccanismo del kill-bit può trovarsi in un componente di Windows ampiamente utilizzato chiamato Active Template Library (ATL). Secondo la ricercatrice della sicurezza Halvar Flake, questo difetto è anche la causa di un bug ActiveX che Microsoft ha identificato all'inizio di questo mese. Microsoft ha rilasciato una patch kill-bit per il problema il 14 luglio, ma dopo aver esaminato il bug, Flake ha stabilito che la patch non risolveva la vulnerabilità sottostante.

Uno dei ricercatori presenti a Black Hat, Ryan Smith, ha riferito questo difetto a Microsoft più di un anno fa e questo difetto verrà discusso durante il talk di Black Hat, fonti confermate lunedì.

Un portavoce di Microsoft ha rifiutato di dire quanti controlli ActiveX sono protetti tramite il meccanismo kill-bit spiegando che l'azienda "non ha informazioni aggiuntive da condividere su questo problema", fino a quando non vengono rilasciate le patch. Ma Schutze ha detto che ci sono abbastanza che la patch del martedì dovrebbe essere applicata il prima possibile. "Se non lo applichi, è come se avessi disinstallato 30 patch precedenti", ha detto.

Smith ha rifiutato di commentare questa storia, dicendo che non gli è stato permesso di discutere la questione prima del suo discorso su Black Hat. Gli altri due ricercatori coinvolti nel lavoro di presentazione per IBM. E mentre IBM ha rifiutato di renderli disponibili per un commento lunedì, la portavoce della compagnia Jennifer Knecht ha confermato che il talk di Black Hat del mercoledì è legato alle patch di martedì di Microsoft.