Các cuộc tấn công mới làm sống lại các lỗi an ninh đã được vá trước đó

Newattack resurrects previously patched security bugs

Coming soon: The Windowskillbit bypass manual

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Security,27th July 2009 19:16 GMT

Freewhitepaper – Opening new doors with HD Video and Telepresence

Lờingười dịch: Vấn đề của Microsoft hiện nay là làm thếnào để vượt qua và không làm sống lại hàng trăm chỗdễ bị tổn thương bởi virus, sâu mọt và các phần mềmđộc hại trong Windows và các ứng dụng của hãng và cácbên thứ 3 đã tồn tại từ nhiều năm nay.

Các nhà nghiên cứucó thể đã chỉ ra cách để vượt qua một kỹ thuậtchung mà Microsoft và các nhà sản xuất phần mềm khác đãsử dụng để sửa hàng trăm chỗ dễ bị tổn thương vềan ninh trong hàng chục năm qua, theo một đoạn video ngắnduyệt trước một cuộc nói chuyện được đặt lịchcho cuối tuần này, tại hội nghị an ninh Mũ Đen.

Video này, được đưalên ở đâybởi nhà nghiên cứu an ninh Ryan Smith, trình bày một cuộctấn công được chứng minh qua các khái niệm mà chúngchiếm quyền kiểm soát toàn phần một máy tính Windows.Nó làm việc bằng cách gây cho IE để tải lênMPEG2TuneRequest, một kiểm soát ActiveX mà Microsoft đã đưavào sổ đen đầu tháng này khi hãng đã sửa một chỗ dễbị tổn thương mang tính sống còn với Windows mà bọntội phạm đã hướng vào để nắm toàn quyền kiểm soátmáy tính của người sử dụng đầu cuối.

Video này xem trướccho cuộc nói chuyện mà Smith và những nhà nghiên cứu bạnbè là Mark Dowd và David Dewey lên kế hoạch để phân phốivào hôm thứ 4 tại hội nghị Mũ Đen tại Las Vegas. Nótáơi một vài tuần sau khi một nhà nghiên cứu riêng rẽkhác, Halvar Flake, đã đưa lên blog nói rằng killbit mãMicrosoft đã xuất bản đầu tháng này để ngăn IE khỏitải lên mã nguồn bị lỗi là “rõ ràng không đủ”.

“Lỗi này có thểchuồn theo cách của nó sang các thành phần của bên thứ3, nếu bất kỳ ai ngoài Microsoft đã truy cập tới cácphiên bản ATL bị gãy”, Flake viết. “Nếu điều nàyxảy ra, MS có thể bỗng dưng đã giới thiệu các chỗ dễbị tổn thương về an ninh trong các sản phẩm của bênthứ 3”.

Điềuđó đã dấy lên khả năng sửa chữa cho hàng trăm chỗdễ bị tổn thương một cách tiềm tàng trong Windows vàcác ứng dụng của bên thứ 3 có thể vượt qua đượcbằng cách sử dụng kỹ thuật này. Nếu đúng, thìđiều đó có thể có những ảnh hưởng cho an ninh an toàncủa những người sử dụng Windows ở bất cứ đâu.

“Nếu ai đó tìm racách để vượt qua được tính năng của killbit, thì điềuđó, một cách có hiệu quả, có nghĩa là họ đang lậtđổi một trong những tính năng về an ninh 'danh sách đen'cốt lõi trong Internet Explorer”, Rafal Los, một chuyên giaan ninh và blogger cho trung tâm an ninh ứng dụng củaHewlett-Packard. “Đó là một thứ thay đổi trò chơi tiềmnăng”.

Researchersmay have figured out how to bypass a common technique Microsoft andother software makers have used to fix hundreds of securityvulnerabilities over the past decade, according to a brief videopreviewing a talk scheduled for later this week at the Black Hatsecurity conference.

Thevideo, postedhere by security researcher Ryan Smith, demonstrates aproof-of-concept attack that takes full control of a Windows machine.It works by causing IE to load MPEG2TuneRequest, an ActiveX controlMicrosoft blacklisted earlierthis month when it fixed a critical Windows vulnerability thatcriminals were already targeting to take full control of end-usermachines.

Thevideo previews a talk Smith and fellow researchers Mark Dowd andDavid Dewey plan to deliver Wednesday at Black Hat in Las Vegas. Itcomes a couple weeks after a separate researcher, Halvar Flake,posted thisblog item reporting that the killbit Microsoft issued earlierthis month to prevent IE f-rom loading the buggy code is "clearlyinsufficient."

"Thebug might have weaseled its way into third-party components, IFanyone outside of Microsoft had access to the broken ATL versions,"Flake wrote. "If this has happened, MS might have accidentallyintroduced security vulnerabilities into third-party products."

Thatraises the possibility that fixes for potentially hundreds ofvulnerabilities in Windows and third-party applications could bebypassed using the technique. If correct, that could have majorimplications for the safety of Windows users everywhe-re.

"Ifsomeone finds a way to bypass the killbit feature, it effectivelymeans they're subverting one of the core 'black-listing' securityfeatures in Internet Explorer," said Rafal Los, a securityexpert and bloggerfor Hewlett-Packard's application security center. "That'sa potential game-changer."

Los nói có “vàitrăm” killbits bao gồm cả trong IE8 chạy trên Vista.Killbits thường được sử dụng để ngăn ngừa trìnhduyệt khỏi việc chạy mã nguồn mà nó được xác địnhsẽ là không an ninh.

Smith, Dowd và Dewey sẽkhông nói nhiều về trình bày trước của họ đối vớiphiên bản Ngày Thứ ba của các bản vá khẩn cấp từMicrosoft. Một người phát ngôn từ IBM, nơi mà Dowd vàDewey được thuê, đã từ chối cung cấp các chi tiếtngoại trừ nói rằng bài trình bày hôm thứ tư có têngọi là “Ngôn ngữ của sự thật: Việc khai thác cácmối Quan hệ Tin cậy trong Nội dung Tích cực”, có liênquan đặc biệt tới những chỗ dễ bị tổn thương củaIE và Visual Studio được giải quyết trong một gói vá bênngoài kế hoạch.

Những chi tiết khácbiệt duy nhất được cung cấp là những điều kiện kỹthuật sau theo đó những bảo vệ killbit có thể bị thấtbại.

“Khi Internet Explorergọi CoCre-ateInstance với một lớp ID của một kiểm soátmà nó đã bị killbitted, thứ gì đó mà chúng phải khôngbao giờ xảy ra, khi mà ProgID của kiểm soát bị ghi trongkillbit cho hép chi nhật ký bằng video, mà nó chỉ ra kiểmsoát ActiveX đang bị khai thác để mở Windows Calculatortrong một máy tính bị tổn thương. “Nếu killbit đượcthiết lập, thì nó phải không bao giờ được phép đểtải vào trong Internet Explorer... từ trước tới nay ítnhiều chạy mã nguồn của vỏ mà nó chạy đượccalc.exe”.

Các thành viên củađội an ninh của Microsoft cũng vậy nói ít trước khiphiên bản vá vào ngày thứ Ba. Phảicông bằng mà nói rằng sự khắc nghiệt của một chỗdễ bị tổn thương mà nó làm sống lại hàng trăm lỗian ninh mà chúng giả thiết đã được sửa không xuấthiện lại để bị thua tại Redmond. Hãng này đãđưa ra chỉ 8 miếng vá khẩn cấp kể từ tháng 10/2003,khi hãng đã triển khai thực tế của hãng về việc tungra các bản cập nhật vào ngày thứ Ba lần thứ 2 trongmỗi tháng.

Lossays there are "several hundred" killbits included in IE 8running on Vista. Killbits are generally used to prevent the browserf-rom running code that is determined to be insecure.

Smith,Dowd, and Dewey aren't saying much about their presentation prior toTuesday's release of the emergency patches f-rom Microsoft. Aspokeswoman f-rom IBM, whe-re Dowd and Dewey are employed, declined toprovide details except to say that Wednesday'spresentation, titled "The Language of Trust: ExploitingTrust Relationships in Active Content," is specifically relatedto the IE and Visual Studio vulnerabilities addressed in theout-of-band patch.

Theonly other details provided were the following technical conditionsunder which killbit protections can be defeated:

"WhenInternet Explorer calls CoCre-ateInstance with a class id of a controlthat has been killbitted, something that should never happen, thenthe ProgID of the control is logged in the killbit allow log,"the video, which shows the ActiveX control being exploited to openWindows Calculator on a vulnerable machine. "If the killbit isset, it should never be allowed to load in InternetExplorer...ever...much less execute shell code that runs calc.exe."

Membersof Microsoft's security team are likewise saying little ahead ofTuesday's release. But it's fair to say that the severity of avulnerability that potentially resurrects hundreds of security bugsthat were presumed to have been fixed doesn't appear to have beenlost on Redmond. The company has issued only eight emergency patchessince October 2003, when it implemented its practice of releasingup-dates on the second Tuesday of each month. ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com