Artikel top billede

Store huller i Microsoft patch af ActiveX-kontroller

Microsofts måde at fixe sikkerhedsproblemer med ActiveX-kontroller fungerer ikke. Det vil hackere vise på Black Hat sikkerheds-konferencen i morgen.

På onsdag ser det ud til, at en præsentation på Black Hat-konferencen vil sætte spot på et alvorligt sikkerhedsproblem, som kan have store konsekvenser.

Sikkerhedsfolkene Mark Dowd, Ryan Smith og David Dewey vil vise, hvordan den såkaldte 'kill-bit' mekanisme, der anvendes til at deaktivere sårbare ActiveX-kontroller, kan omgås.

"Dræbte" ActiveX-kontroller kan startes

På en video viser Ryan Smith, hvordan deaktiverede ActiveX-kontroller alligevel kan aktiveres og anvendes til at overtage kontrollen med en pc.

I videoen er der sat en killbit, så Microsoft Video Control ikke burde kunne loades i Internet Explorer.

Alligevel har sikkerhedsforskerne fundet en måde at omgå killbit-mekanismen, så Microsoft Video Control aktiveres og anvendes til at tage kontrollen over pc'en.

I videoen illustreres det rimeligt harmløst med at starte Windows' lommeregner, calc.exe. Ondsindede hackere kan imidlertid vælge at gøre langt mere alvorlige ting.

Videoen slutter med ordene:
"Kom og se vores præsentation for mere om killbit bypass og andre goodies. Onsdag, 29. juli 3.15 pm -> 4.30"

Sikkerhedsekspert: Stort problem
Videoen afslører ikke de tekniske detaljer om, hvordan man omgår killbit-mekanismen.

Sikkerhedsanalytikere er dog ikke i tvivl om, at det er et alvorligt problem, der er fundet.

Microsoft bruger ofte kill-bit instruktioner som en hurtig måde at sikre Internet Explorer mod angreb, der udnytter sårbare ActiveX-kontroller.

Ved at omgå killbit-mekanismen kan hackere aktivere deaktiverede sårbare ActiveX-kontroller og dermed få adgang til sårbarheder, som brugerne ellers troede var fixet.

"Det her er stort, fordi du kan starte kontroller, som ikke er beregnet til at blive startet. Ved at besøge en ondsindet website, kan de kriminelle gøre, hvad de har lyst til, selv om jeg har installeret patches," siger Eric Schultze, chief technology officer hos sikkerhedsfirmaet Shavlik Technologies.

Windows Registry tildeler ActiveX-kontrollerne unikke numre kaldet GUIDs (globally unique identifiers), og kill-bit mekanismen blacklister bestemte GUIDs i Windows registry'et, så komponenterne ikke kan køre.

Killbit-omgåelse og dagens Microsoft-opdatering

Som Computerworld rapporterede i går, vil Microsoft i dag frigive hasteopdateringer til Internet Explorer og Visual Studio.

Hasteopdateringerne kædes sammen med den forventede offentliggørelse af killbit-mekanismens utilstrækkelighed på Black Hat-konferencen.

Ryan Smith ønsker ikke at kommentere sagen overfor IDG News Service inden hans oplæg på Black Hat-konferencen.

De to andre sikkerhedsfolk, Mark Dowd og David Dewey, arbejder for IBM og kunne heller ikke kommentere.

Men en IBM-talskvinde, Jennifer Knecht, bekræfter overfor IDG News Service, at onsdagens Black Hat-præsentation hænger sammen med Microsoft's patches, der udsendes i dag.

En talsmand fra Microsoft ønsker ikke at oplyse, hvor mange ActiveX-kontroller, der er sikret ved hjælp af kill-bit mekanismen, men siger, at Microsoft "ikke har mere information at dele om det emne" før patchene frigives senere i dag.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere