Internet Explorer is dus lang niet het enige programma dat kwetsbaar is voor de omzeiling van de killbit-patchmethode. De ontdekkers van deze exploit geven ook een video-demonstratie. Daarbij gebruiken ze een gat in door Microsoft eerder geblokkeerde ActiveX-control om een Windows-pc over te nemen.

Zoals beloofd heeft Microsoft gisteren twee updates uitgebracht die samen zes kwetsbaarheden oplossen. Het is de eerste update buiten de reguliere updatecyclus sinds Microsoft in oktober het gat dichtte wat de Conficker-worm misbruikte om binnen te komen.

Vóór Black Hat-presentatie

De nu uitgebrachte noodpatches zijn inderdaad een preventieve actie voor de presentatie die drie onderzoekers vandaag houden op Black Hat. Daarin zullen ze demonstreren hoe je een killbit-verdediging kunt omzeilen.

“We hebben deze patches ‘out-of-cycle’ uitgebracht omdat we minstens één aanval hebben gezien die deze kwetsbaarheid gebruikt”, zegt Mike Reavey, hoofd van Microsofts Security Response Center in de begeleidende persverklaring van het bedrijf. “En er werd almaar meer gespeculeerd en er kwamen meer en meer details naar buiten over de Black Hat-exploit. We hadden de patches klaarliggen om uit te brengen, dus hebben we besloten om ze vandaag los te laten.”

Active Template Library

De twee noodpatches, MS09-034 en MS09-035 lossen drie kritieke lekken op in IE en patchen drie matig belangrijke lekken in Visual Studio. Het vreemde daaraan is dat Microsoft er op lijkt te wijzen dat de patches voor Visual Studio toch de belangrijkste zijn. De kwetsbaarheden zitten in de Active Template Library, die door Microsoft en andere ontwikkelaars wordt gebruikt om ActiveX-controls en applicatiecomponenten te maken.

ATL is een C++ bibliotheek die veel wordt gebruikt door ontwikkelaars. Deskundigen zijn dan ook bang dat het niet voldoende is dat Microsoft nu het onderliggende probleem in ATL oplost.

Ook Reavey onderkent dit. “Het is moeilijk om dit soort problemen met bibliotheken op te lossen”, zegt hij. “Daarvoor moet je met veel mensen samenwerken.” Een probleem met een bibliotheek heeft namelijk niet alleen invloed op het ontwikkelplatform, maar ook op de code die met behulp van dat platform geschreven is.

Veel buggy software

Reavey geeft toe dat het moeilijk in te schatten is hoeveel ontwikkelaars de buggy ATL hebben gebruikt, en dus hoeveel kwetsbare stukken code er in omloop zijn. Bovendien is Microsoft nog niet eens klaar met het doorlichten van de eigen code. “We zijn nog bezig met het onderzoek”, zegt Reavey. Hij reageert daarmee op de of Microsoft bugs heeft gevonden in software als Windows Media Player, waarvan een aantal onderzoekers beweert dat er kwetsbare ATL-code in zit.

Microsoft spoort ontwikkelaars aan om hun software goed na te kijken, en om die indien nodig opnieuw te compileren met de gepatchte ATL. “Microsoft adviseert nadrukkelijk dat ontwikkelaars die controls of componenten hebben gebouwd met ATL, onmiddellijk nagaan of hun software kwetsbaar is."

Dat advies geldt ook voor de toekomst: "Microsoft adviseert ook dat ontwikkelaars dan de aanwijzingen volgen waarmee ze controls en componenten kunnen maken die geen last hebben van de kwetsbaarheid”, meldt de Windows-producent in een security advisory. Daarin staat nog eens goed uitgelegd wat de risico’s zijn van dit grote beveiligingsgat.

Internet Explorer

De noodpatches voor IE zijn intussen uitgebracht. De snijden alle exploits die nu bekend zijn de pas af, aldus Reavey. Hij bevestigt ook dat de updates voor IE aanvallers ervan weerhouden om de killbit te omzeilen op de manier die hackers Ryan Smith, Mark Dowd en David Dewey vandaag aan hun publiek voorstellen. De aanvullingen op IE blokkeren niet alle kwetsbare ActiveX-controls, maar kijken in plaats daarvan of die controls de specifieke methodes gebruiken die de bugs aanspreken. Als dat het geval is, dan wordt dat geblokkeerd, zegt Reavey.

Zeer waarschijnlijk is Internet Explorer gecompileerd met behulp van de kwetsbare ATL. Daardoor zijn de twee updates onlosmakelijk met elkaar verbonden. Het is heel onwaarschijnlijk dat op korte termijn alle software die met de kwetsbare ATL is gemaakt wordt uitgeroeid.

Bron: Techworld.nl.