Hackers omzeilen patchmethode IE
Gepubliceerd: Dinsdag 28 juli 2009
Auteur: Sander van der Meijs
De IE-noodpatches die Microsoft vandaag uitbrengt, zijn een reactie op een Black Hat-presentatie woensdag. Hackers tonen hoe zij een patchmechanisme van IE omzeilen.
Morgen zullen onderzoekers Mark Dowd, Ryan Smith en Daved Dewey in hun presentatie op Black Hat laten zien hoe je het kill-bit mechanisme kunt omzeilen. Daarmee zijn buggy ActiveX controls in Internet Explorer (IE) uit te schakelen. Als vooraankondiging heeft Smith alvast een teaservideo online gezet, waarin hij laat zien hoe ze een recent gedicht beveiligingsgat toch weer gebruiken om een Windows-pc op afstand over te nemen.
Snel afdekken
Over het algemeen gebruikt Microsoft kill-bit instructies als een snelle manier om zijn webbrowser te beveiligen tegen aanvallen die buggy ActiveX-software misbruiken. De betreffende ActiveX-controls worden daarmee namelijk afgedekt. Ze staan via het Windows-register op een zwarte lijst waardoor ze niet meer worden uitgevoerd.
Juist afgelopen Patch Tuesday heeft Microsoft onder andere zo'n kill-bit patch uitgebracht voor een lek dat met ActiveX kan worden uitgebuit. Dat lek is meer dan een jaar geleden door Ryan Smith aan Microsoft gerapporteerd.
Die patch heeft niet de onderliggende kwetsbaarheid opgelost, die waarschijnlijk zit in de Active Template Library (ATL). Volgens beveiligingsonderzoeker Halvar Flake is deze bibliotheek ook verantwoordelijk voor de ActiveX-bug die Microsoft eerder deze maand bekendmaakte, waarvoor het bedrijf ook al een kill-bit patch uitbracht.
30 patches deïnstalleren
Zowel Microsoft als de onderzoekers weigeren te reageren op vragen voordat de noodpatch vandaag is uitgebracht. De kill-bit patchmethode is in de loop der tijd gebruikt voor veel beveiligingsgaten, in IE maar ook in componenten als ActiveX en Windows-technieken als DirectX. ActiveX wordt ook gebruikt voor webcomponenten van bijvoorbeeld Microsofts spreadsheetprogramma Excel.
Microsoft wil niet zeggen hoeveel patches met kill-bits er precies zijn, maar volgens experts loopt het in de tientallen. Chief technology officer Eric Schultze van Shavlik Technologies stelt dat het er zeker dertig zijn. Daarom moet de patch die vandaag uitkomt zo snel mogelijk worden toegepast. "Als je deze niet installeert, dan is het net of je dertig eerdere patches deïnstalleert", zegt hij.
Bron: Techworld.nl.
