Microsoft khẳng định lỗi ngày số 0 mới của Windows

Microsoftconfirms new Windows zero-day bug

Cáctin tặc có thể sử dụng các ảnh dị hình để tấncông XP, Vista, Server 2003 và 2008

Hackerscan use malformed images to hijack XP, Vista, Server 2003 and 2008

By Gregg Keizer

January 4, 2011 02:50 PMET

Theo:http://www.computerworld.com/s/article/9203179/Microsoft_confirms_new_Windows_zero_day_bug

Bài được đưa lênInternet ngày: 04/01/2011

Lờingười dịch: Còn nhớ, năm 2010, và nhất là tháng 12/2010là tháng lậpkỷ lục mọi thời đại của Microsoftvề số lượng các bản tin về an ninh và số lượng lổiphải vá. Và mới bước sang tháng 1/2011, Microsoft đã cómột đống các lỗi khác: “Áp lực là lên Microsoft”,Storms nó trong một cuộc phỏng vấn thông điệp tức thì.“Họ đã có một lỗi ngày số 0 nổi tiếng trong IE cộngvới một lỗi WMI Active X mà Secunia đã đưa ra một cảnhbáo hôm 22/12. Kết hợp những lo lắng với một câuchuyện ngoài lề lớn hơn nhiều về lổi cross_fuzz và bâygiờ [một] lổi điều khiển ảnh tất cả làm thành mộtlời chúc mừng năm mới cho Microsoft”. Giá mà làGNU/Linux, thì có lẽ nó đã có lệnh cấm toàn quốc từlâu rồi chứ nhỉ???)

Computerworld –Microsoft hôm này đã khẳng định một chỗ bị tổnthương chưa được vá trong Windows chỉ vài giờ sau khimột bộ công cụ tấn công đã đưa ra một khai thác đốivới lỗi này.

Một bản vá đangđược xây dựng, những Microsoft chưa có kế hoạch đưara một sự khẩn cấp, hoặc một cập nhật “ngoại lệ”để sửa lổi này.

Lổi này lần đầuđược nói tới vào ngày 15/12 tại hội nghị an ninh tạiHàn Quốc, nhưng có sự chú ý hơn vào hôm thứ ba khi côngcụ thâm nhập Metasploit nguồn mở đã đưa ra một modulekhai thác bị tác động bởi nhà nghiên cứu Josshua Drake.

Theo Metasploit, cáccuộc tấn công thành công có khả năng gây tổn thươngcho các máy tính cá nhân nạn nhân, sau đó đưa ra phầnmềm độc hại vào các máy tính để cướp phá chúng lấythông tin hoặc tuyển mộ chúng vào một botnet tội phạm.

Chỗ bị tổn thươngtồn tại trong máy trình diễn đồ họa của Windows, mànó điều khiển một cách không phù hợp các ảnh nhỏ(thumbnail), và có thể xảy ra khi một người sử dụngxem một thư mục có chứa một ảnh nhỏ làm giả vớitrình quản lý tệp của Windows, hoặc mở hoặc xem mộtsố tài liệu của Office.

Microsoft đã thừanhận lổi này trong một tư vấn an ninh, và nói Windows XP,Vista, Server 2003 và Server 2008 đã bị tổn thương. Các hệđiều hành mới nhất, Windows 7 và Server 2008 R2, không bị.

Những kẻ tấn côngcó thể cho những người sử dụng ăn các tài liệuPowerPoint hoặc Word độc hại có chứa một ảnh nhỏ kỳdị – sau đó khai thác các máy PC của họ nếu tài liệuđược mở hoặc thậm chí được xem, Microsoft nói.

Như một lựa chọnthay thế, các tin tặc có thể tấn công các máy tính bằngviệc thuyết phục những người sử dụng xem một ảnhnhỏ kỳ dị trong một thư mục hoặc ổ đĩa chia sẻ củamạng, hoặc trong một thư mục chia sẻ tệp WebDAV trựctuyến.

Computerworld- Microsoft today confirmed an unpatched vulnerability in Windowsjust hours after a hacking toolkit published an exploit for the bug.

Apatch is under construction, but Microsoft does not plan to issue anemergency, or "out-of-band," up-date to fix the flaw.

Thebug was first discussed Dec. 15 at a South Korean securityconference, but got more attention Tuesday when the open-sourceMetasploit penetration tool posted an exploit module crafted byresearcher Joshua Drake.

Accordingto Metasploit,successful attacks are capable of compromising victimized PCs, thenintroducing malware to the machines to pillage them for informationor enlist them in a criminal botnet.

Thevulnerability exists in Windows' graphics rendering engine, whichimproperly handles thumbnail images, and can be triggered when a userviews a folder containing a specially crafted thumbnail with Windows'file manager, or opens or views some Office documents.

Microsoftacknowledged the bug in a securityadvisory, and said Windows XP, Vista, Server 2003 and Server 2008were vulnerable. The newest operating systems, Windows7 and Server 2008 R2, were not.

Attackerscould feed users malicious PowerPoint or Word documents containing amalformed thumbnail, then exploit their PCs if the document wasopened or even previewed, said Microsoft. Al-ternately,hackers could hijack machines by convincing users to view a riggedthumbnail on a network shared folder or drive, or in an online WebDAVfile-sharing folder.

“Đây là một chỗbị tổn thương chạy mã nguồn từ xa. Một kẻ tấn côngmà đã khai thác thành công chỗ bị tổn thương này cóthể kiểm soát hoàn toàn một hệ thống bị lây nhiễm”,tư vấn của Microsoft nói.

“Chỗ bị tổnthương bị khai thác bằng việc thiết lập số lượngcác chỉ số màu trong bảng màu [của tệp ảnh] sang thànhsố âm”, Johnnes Ullrich, phụ trách nghiên cứu tại ViệnSANS, nói.

Microsoft đã khuyếncáo một sự khắc phục tạm thời mà nó bảo vệ PCchống lại cuộc tấn công cho tới khi có được bản vá.Sự khắc phục này, mà nó bổ sung nhiều hạn chế hơnvào tệp “shimgvw.dll” - thành phần mà xem trước ảnhtrong Windows – đòi hoải những người sử dụng gõ mộtxâu ký tự vào một dấu nhắc lệnh. Tuy nhiên, làm nhưvậy nghĩa là “các tệp phương tiện thường đượcđiều khiển bởi Máy Trình diễn Đồ họa sẽ không hiểnthị được đúng”, Microsoft nói.

Trong khi Microsoft nóihãng đã không biết về bất kỳ cuộc tấn công tích cựcnào, thì lổi mới này là một lổi khác được bổ sungvào một danh sách đang gia tăng các chỗ bị tổn thươngchưa được vá, Andrew Storms, giám độc về an ninh tạinCirrcle Security, nói.

“Áplực là lên Microsoft”, Storms nó trong một cuộc phỏngvấn thông điệp tức thì. “Họ đã có một lỗi ngàysố 0 nổi tiếng trong IE cộng với một lổi WMI Active Xmà Secunia đã đưa ra một cảnh báo hôm 22/12. Kết hợpnhững lo lắng với một câu chuyện ngoài lề lớn hơnnhiều về lổi cross_fuzz và bây giờ [một] lổi điềukhiển ảnh tất cả làm thành một lời chúc mừng nămmới cho Microsoft”.

Microsoft đã khẳngđịnh một lỗi sống còn trong IE 2 tuần trước; hôm chủnhật, kỹ sư an ninh của Google Michal Zalewski nói ông đãchứng kiến rằng các tin tặc Trung Quốc đã thử mộtlỗi khác trong trình dutệt của Microsoft.

“Với Microsoft chỉđóng cửa đối với bản vá lớn nhất của năm ngoái,thì năm 2011 lại đang không bắt đầu trong chiều hướngtích cực”, Storms nói.

Năm ngoái, Microsoft đãđưa ra một kỷ lục 106 bản tin an ninh để vá một kỷlục 266 chỗ bị tổn thương. Bản vá Ngày thứ 3 tiếptheo được lên lịch như thường lệ của Microsoft là vàonày 11/01. Nếu hãng duy trì sự phát triển bình thườngcủa nó và tốc độ kiểm thử, thì một sửa lổi có lẽsẽ có vào tuần sau.

"Thisis a remote code execution vulnerability. An attacker whosuccessfully exploited this vulnerability could take complete controlof an affected system," Microsoft's advisory stated.

"Thevulnerability is exploited by setting the number of color indexes inthe color table [of the image file] to a negative number," addedJohannesUllrich, the chief research officer at the SANS Institute.

Microsoftrecommended a temporary workaround that protects PCs against attackuntil a patch is released. The workaround, which adds morerestrictions on the "shimgvw.dll" file -- the componentthat previews images within Windows -- requires users to type astring of c-haracters at a command prompt. Doing so, however, meansthat "media files typically handled by the Graphics RenderingEngine will not be displayed properly," said Microsoft.

WhileMicrosoft said it didn't know of any active attacks, the new bug isanother to add to a growing list of unpatched vulnerabilities, saidAndrew Storms, director of security at nCircle Security.

"Thepressure is on Microsoft," said Storms in an instant messageinterview. "They already have an outstanding zero-day in[Internet Explorer] plus a WMI Active X bug that Secunia issued awarning about [on Dec. 22]. Combine those concerns with a much biggerside story regarding cross_fuzz and now [an] image handling bug allmake it a happy new year for Microsoft."

Microsoftconfirmed a criticalbug in IE two weeks ago; on Sunday, Google security engineerMichal Zalewski said he had evidence that Chinesehackers were probing a different flaw in Microsoft's browser.

"WithMicrosoft just closing the door on its largest patch year yet, 2011is not starting out in a positive direction," Storms said.

Lastyear, Microsoftissued a record 106 security bulletins to patch a record 266vulnerabilities.

Thenext regularly-scheduled Microsoft Patch Tuesday is Jan. 11. If thecompany maintains its normal development and testing pace, a fix isvery unlikely next week.