Sommeren nærmer sig, men desværre betyder det ikke, at alle søger mod
stranden med surfboardet og beachvolley nettet. Det er ikke alle, som
opholder sig i det gode vejr eller tager på familieudflugter.
Netop nu
opleves en kraftig stigning i hackerangreb mod kommercielle hjemmesider og
der er intet som tyder på, at stormen vil ligge sig på grund af sommerens
ankomst - tværtimod.
I maj 2000 oplevede vi for første gang omfanget af en
velprogrammeret kærlighedsvirus og flere andre varianter som prompte fulgte
i kølvandet. Lad dig derfor ikke lulle i søvn. Det kan nemt blive en travl
sommer.
Bulgaren Georgi Guninski, som i snart årevis, har været en tørn i øjet på
software giganten Microsoft, udsender for tiden en sand strøm af nyopdagede
svagheder. Også denne gang er det Microsoft, som traditionen tro, står for
skud.
Hele to detaljerede beskrivelser af mulige sårbarheder, som af hackere
kan misbruges til at overtage kontrol med en maskine der kører Microsoft
produkter, er i omløb. Microsoft har indtil videre ikke produceret software
patches der kan lappe disse potentielle huller.
De nye huller kan udnyttes
af hackere til at udvikle orme, trojanske heste eller andre hel- eller
halvautomatisk kodestumper, som udnytter standardinstallationen af bl.a.
Internet Explorer 5.x eller Outlook.
Men desværre, er det for tiden, ikke den almindelige PC-brugers eneste
hovedpine. Det er nemlig blevet klart, at flere ældre sårbarheder stadig er
intakte og fortsat kan misbruges af ondsindede personer.
Malware.com har
valgt at afsløre, at en ældre udgave af et Georgi Guninski exploit og et
exploit fra Dildog i tæt kodekoalition, stadig er særdeles aktivt og kan
misbruges til automatisk at plante kode på en maskine - og det uden
interaktion fra brugeren.
Detaljerede beskrivelser af de tidligere
offentliggjorte sårbarheder kan findes på Securityfocus.
Malware.com har placeret en test på deres hjemmeside, som tydeligt illustrer
omfanget af sårbarheden og at det efter snart et halvt år i offentlighedens
klare søgelys, stadig er umådeligt aktiv og muligt at udnytte!
Det til
trods for, at systemet (en standardinstallation af Windows 98 med IE5.5) er
ajourført med de seneste patches fra Microsoft. En praktisk demonstration af
problemet kan findes hos Malware.com.
Men Microsoft brugere har flere problemer. Juan Carlos G. Cuartango har
fundet en metode, som via en ukorrekt MIME-header, kan narre Internet
explorer 5.0 og 5.5. til automatisk at afvikle kode uden interaktion fra
brugeren. Koden vil kunne indeholde virus, bagdøre eller andet ondsindet
indhold, som sletter eller manipulerer systemet hvorpå det afvikles.
Sårbarheden betyder, at en hacker kan køre kode direkte ved besøg på en
ondsindet hjemmeside, eller ved at udsende HTML basede emails til personer,
som man ønsker at inficere med den vedhæftede fil/kode.
I følge god skik,
har Juan Carlos G. Cuartang involveret Microsoft således, at de samtidig med
offentliggørelse af exploitkoden kunne have en patch parat til at lappe
hullet.
Denne patch som Microsoft har forberedt er desværre for flere
brugere totalt virkningsløs. Når den forsøges kørt fremkommer i mange
tilfælde en dialog med beskeden: "This update does not need to be installed
on your system". Og det til trods for at systemet i den grad fortsat er
sårbart overfor "Incorrect MIME Header Can Cause IE to Execute E-mail
Attachment".
Juan Carlos G. Cuartango's fund er også mere omfattende end
først antaget, da det også er muligt, at manipulere exploitkoden således at
datafiler af typen .pdf og .mpeg bliver afviklet efter en angribers ønske.
En test, som kan afgøre hvorvidt man er sårbar overfor "Incorrect MIME
Header Can Cause IE to Execute E-mail Attachment" kan findes på hans hjemmeside.
En ormetrend
Hackere vil i fremtiden udnytte ormeteknikken til at infiltrere større
grupper af mennesker på en gang. Det har længe været populært blandt hackere
og script kiddies at scanne efter bestemte forældede services, men en ny
tendens syntes at rejse sig - eller måske rettere en flashback til starten
af 1990'erne.
Det handler om selvafviklende orme, som kan angribe såvel
Microsoft Windows som Redhat brugere. Man behøver blot at skræddersy en
programkode til at udnytte et hul og sende ormen i omløb. Samtlige brugere
som ikke har opdateret systemet er herefter i farezonen for besøg af en
sådan orm.
Koden som afvikles kan indeholde funktioner som videresender
passwordoplysninger, oplysninger om netværket eller andet til en email
adresse i f.eks. Slovenien.
Programmørerne har sådanne orme kan læne sig
tilbage og vente på at ormen får fat og i en stille strøm kompromitterer
systemer for derfor at sende oplysningerne til hackeren.
Ny polymorphic teknik skal skjule kendte angrebsmønstre
Mange populære exploitkoder som kan give root eller systemadgang kendes i
dag og er konfigureret i antivirus produkterne og i vores IDS (intrusion
detection systems). Ved ankomst af sådanne kodestumper vil AV-programmet
eller IDS alarmere om forsøget, ik? Nej, ikke nødvendigvis, desværre.
Det
nye boss-word i sikkerhed er IDS, men det kræver meget af de enkelte
systemadministratorer at konfigurere programmet optimalt og selv hvis de er
i stand til dette er der uheldigt nyt på vej. Flere hackere er nemlig parate
med et værktøj som kan narre pattern-recognition intelligence som bruges af
mange udbredte IDS.
Teknikken er simpel. Et stykke software, som allerede er
blevet offentliggjort af K2 på konferencen CanSecWest afholdt i Vancouver,
Canada, skjuler exploitkoden på en sådan måde at den vanskeligt kan
genkendes af IDS. Den nye teknik hedder polymorphic coding og er allerede
kendt når den handler om at viruskode skal snyde antivirus programmerne.
Vi stopper som vi startede - hackere er ikke surfere. Med alle disse
potentielle huller, som i den seneste tid er konstateret og de nye
problemstillinger med gamle huller som ikke er ordentligt patchet i nyere
udgaver af IE venter der os givetvis en travl sommer. Der er i hvert fald
nok at vælge mellem når crackere og script kiddies skal samle kodestumper
som automatisk skal bryde nye mål på Internet.
- Juan Carlos G. Guartango
- Malware.com
- Security bug in Internet Explorer - MSScriptControl.ScriptControl
- Security bugs in interactions between IE 5.x, IIS 5.0 and Exchange 2000
- Microsoft Internet Explorer 5.5 Index.dat Vulnerability
- Microsoft Internet Explorer and Outlook/Outlook Express Remote File Write Vulnerability
