Artikel top billede

Så lang tid kan Microsoft have kendt til farligt IE-hul

Et dusørprogram for fejlfinding kan have rapporteret sårbarheden til Microsoft for lang tid siden.

Computerworld News Service: Microsoft ser ud til at have kendt til sidste uges 0-dagssårbarhed i Internet Explorer i nogen tid.

Sårbarheden, som blev lukket fredag i en hasteopdatering uden for den normale tidsplan, blev først offentliggjort 15. september, da en sikkerhedsekspert fandt angrebskode rettet mod sårbarheden på en kendt hackerserver.

Det fik Microsoft til at udgive en midlertidig rettelse inden for tre dage og derefter en permanent rettelse efter yderligere tre dage.

Men Microsofts sikkerhedsteam har sandsynligvis kendt til sårbarheden i længere tid.

I sikkerhedsbulletinen MS12-063 angiver Microsoft at sårbarheden blev rapporteret via Hewlett-Packard TippingPoints dusørprogram for fejlfinding, Zero Day Initiativ.

"Microsoft takker ... en anonym analytiker, der samarbejder med TippingPoints Zero Day Initiative, for at have rapporteret execCommand Use After Free Vulnerability (CVE-2012-4969)," står der i bulletinen.

Vi ved ikke hvornår

Det vides dog ikke med sikkerhed, hvornår ZDI rapporterede fejlen til Microsoft.

Hverken Microsoft eller HP TippingPoint har svaret i løbet af weekenden på henvendelser med spørgsmål om CVE-2012-4969.

Desuden har ZDI endnu ikke offentliggjort nogen tekniske oplysninger om sårbarheden, hvilket organisationen som regel gør, når en leverandør har rettet en rapporteret fejl.

Flere sikkerhedsanalytikere har også lagt mærke til denne tilskrivning af rapporteringen af fejlen til ZDI.

"Det tidlige varsel hjalp Microsoft til at få rettelsen så hurtigt ud," kommenterer Wolfgang Kandek, der er teknologidirektør hos Qualys fredag.

Analytikerne har generelt rost Microsoft for at udgive en hasteopdatering på under en uge.

Men Kandek tvivler på, at Microsoft vidste noget om sårbarheden særlig lang tid på forhånd, med henvisning til sårbarhedens udgivelsesdato på sårbarhedsdatabasen National Vulnerability Database under (Common Vulnerabilities and Exposures) CVE-2012-4969.

ZDI's liste over kommende varsler - det vil sige varsler for fejl, der er rapporteret til leverandører - angiver 10 varsler til Microsoft fra en anonym sikkerhedsanalytiker.

Den seneste af disse rapporteringer til Microsoft skete 24. juli 2012, mens den tidligste blev indgivet 25. maj 2011.

Hvis den seneste af disse rapporteringer var af CVE-2012-4969, så kendte Microsoft til den farlige 0-dagssårbarhed i Internet Explorer i mere end syv uger, før Eric Romang offentliggjorde sin opdagelse af angrebskoden fundet på en hackerkontrolleret server 15. september.

Også Romang bider særligt mærke i tilskrivningen af rapporteringen af fejlen til ZDI i MS12-063.

"For at gøre det helt klart, så betyder det, at denne sårbarhed blev opdaget af en anden analytiker forud for min opdagelse, rapporteret til ZDI, som derefter rapporterede den til Microsoft," forklarer Romang i et indlæg lørdag på sin personlige blog.

Her kan det være gået galt

HP TippingPoint har oprettet sit dusørprogram for fejlfinding, ZDI, for at styrke udviklingen af beskyttelsessignaturer til sine kunder af HP Digital Vaccine, som bruger disse signaturer i deres intrusion prevention-systemer (IPS'er).

Noget andet, der kunne tyde på, at Microsoft var blevet varslet om den farlige sårbarhed i Internet Explorer lang tid i forvejen, har at gøre med Internet Explorer 10, der følger med Windows 8, som allerede anvendes af visse brugere, men som kommer i handlen 26. oktober.

Microsoft fastholdt: Den er ikke farlig
I sidste uge understregede Microsoft gentagne gange, at Internet Explorer 10 ikke var sårbar overfor dette angreb.

Elia Florio fra Microsoft Security Response Center udtalte torsdag: "Internet Explorer 10 er ikke påvirket."

Microsoft var færdig med udviklingen af Internet Explorer 10 på et tidspunkt før 1. august, da selskabet annoncerede, at Windows 8 var klar til at blive distribueret til partnere og computerproducenter.

Det er ifølge sikkerhedschef hos nCircle Security Andrew Storms muligt, at Microsoft rettede Internet Explorer 10 med oplysninger fra ZDI, mens man for eksempel stadig var ved at teste rettelserne til de andre versioner af browseren.

En anden mulig forklaring er, at Microsoft uforsætligt rettede fejlen i Internet Explorer 10 ved at ændre i koden af andre grunde.

Storms mener, at disse to mulige forklaringer har lige stor sandsynlighed for at være rigtig.

Måske i stand til at blokere

Der er dog en anden mulighed: Måske er en af de nye sikkerhedsfunktioner i Internet Explorer 10 i stand til at blokere denne type angreb, uden at det betyder, at browseren er blevet opdateret med en rettelse af denne specifikke sårbarhed.

Florios vage formulering om, at Internet Explorer 10 ikke er påvirket, er ikke et eksplicit udtryk for, at browseren er blevet rettet.

Dermed er den tredje mulighed stadig på bordet.

Sikkerhedseksperter bringer dog andre bekymringer på banen, navnlig at hackere muligvis udfører såkaldt "reverse engineering" af HP's Digital Vaccine-signaturer for at finde fejl i Microsofts kode, der efterfølgende kan anvendes til udviklingen af angreb mod åbne sårbarheder.

Robert Graham fra Errata Security bemærker, at noget sådant kunne forklare, at det lykkedes hackere at udnytte sårbarheden CVE-2012-4969, der blev rapporteret af ZDI, før den blev rettet af Microsoft.

"Mange leverandører af IPS'er inkluderer beskyttelse mod 0-dagssårbarheder ved virtuelt at rette sårbarheder i IPS'et, før den rigtige rettelse udgives," forklarer Graham i et blogindlæg fredag. "Det betyder, at hackere ganske enkelt kan reverse-engineer et IPS for at få en konstant tilførsel af nye 0-dagssårbarheder fra signatur-opdateringerne."

Romang går dog endnu længere. Ligesom Graham mener han, at reverse-engineering kan forklare forbindelsen mellem ZDI og denne 0-dagssårbarhed. Men han rejser desuden spørgsmålet, om ZDI kan have lækket tekniske oplysninger om CVE-2102-4969 enten bevidst eller ved et uheld.

I sidste måned blev en 0-dagssårbarhed i Java udnyttet af de kriminelle, der kontrollerede den server, som Romang opdagede 15. september. Ligesom med fejlen i Internet Explorer var der heller ingen rettelse umiddelbart tilgængelig for denne fejl i Java - det var en åben sårbarhed. Og ligesom sårbarheden i Internet Explorer blev denne sårbarhed i Java rapporteret af ZDI.

Oracle udsendte sidst i august en hasteopdatering af Java uden for den normale tidsplan, hvilket kun sker meget sjældent. Det skete for at sætte en stopper for det hastigt stigende antal af angreb mod denne sårbarhed.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere