Woensdag zullen drie onderzoekers, Mark Dowd, Ryan Smith en Daved Dewey, in een presentatie op Black Hat laten zien hoe je het kill-bit mechanisme kunt omzeilen, waarmee buggy ActiveX controls worden uitgeschakeld. Als vooraankondiging heeft Ryan Smith alvast een teaser-video online gezet, waarin hij laat zien hoe ze voorbij kill-bit zijn gekomen.

Kill-bit

Over het algemeen gebruikt Microsoft kill-bit instructies als een snelle manier om Internet Explorer te beveiligen tegen aanvallen die gebruik maken van buggy ActiveX software. De Windows Registry geeft elke ActiveX control een uniek nummer, een GUID (globally unique identifier). En met het kill-bit mechanisme worden bepaalde GUID’s op een zwarte lijst gezet in de Registry, zodat die componenten niet kunnen worden uitgevoerd.

Juist afgelopen Patch Tuesday heeft Microsoft onder andere zo’n kill-bit patch uitgebracht voor een lek dat met ActiveX kan worden uitgebuit. Dat lek is meer dan een jaar geleden door Ryan Smith aan Microsoft gerapporteerd. Maar die kill-bit heeft niet de onderliggende kwetsbaarheid opgelost, die waarschijnlijk zit in de Active Template Library (ATL). Volgens beveiligingsonderzoeker Halvar Flake is deze bibliotheek ook verantwoordelijk voor de ActiveX bug die Microsoft eerder deze maand bekendmaakte, waarvoor het bedrijf ook een kill-bit patch uitbracht.

30 patches de-installeren

Zowel Microsoft als de onderzoekers weigerden om te reageren voordat de patch vandaag is uitgebracht. Maar in de loop van de tijd zijn er behoorlijk wat patches geweest met kill-bits. Microsoft wil niet zeggen hoeveel het er precies zijn, maar volgens experts loopt het in de tientallen. Volgens Eric Schultze, chief technology officer van Shavlik Technologies zijn het er zeker dertig. Daarom moet de patch die vandaag uitkomt zo snel mogelijk worden toegepast. “Als je deze niet installeert, dan is het net of je dertig eerdere patches de-installeert”, zei hij.

Bron: Techworld