Microsoft Berambisi untuk Memperbaiki Serangan Bunuh Asumsi Bunuh Asupan

Microsoft telah dipaksa untuk mengeluarkan tambalan darurat untuk sistem operasi Windows setelah para peneliti menemukan cara untuk memintas mekanisme keamanan penting dalam browser Internet Explorer.

Selama pembicaraan hari Rabu di konferensi Black Hat minggu ini di Las Vegas, peneliti Mark Dowd, Ryan Smith dan David Dewey akan menunjukkan cara melewati mekanisme 'kill-bit' yang digunakan untuk menonaktifkan kontrol ActiveX buggy. Demonstrasi video diposting oleh Smith menunjukkan bagaimana para peneliti mampu melewati mekanisme, yang memeriksa kontrol ActiveX yang tidak diizinkan untuk berjalan di Windows. Mereka kemudian dapat mengeksploitasi kontrol ActiveX buggy untuk menjalankan program yang tidak sah pada komputer korban.

Meskipun para peneliti belum mengungkapkan rincian teknis di balik pekerjaan mereka, bug ini bisa menjadi masalah besar, memberi hacker cara mengeksploitasi masalah ActiveX yang sebelumnya dianggap telah dimitigasi melalui kill-bits.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Ini sangat besar karena Anda dapat menjalankan kontrol pada kotak yang tidak ada dimaksudkan untuk dieksekusi, "kata Eric Schultze, chief technology officer dengan Shavlik Technologies. "Jadi dengan mengunjungi situs web jahat [penjahat] dapat melakukan apa saja yang mereka inginkan meskipun saya sudah menerapkan patch."

Microsoft biasanya mengeluarkan instruksi kill-bit ini sebagai cara cepat mengamankan Internet Explorer dari serangan yang mengeksploitasi buggy Perangkat lunak ActiveX. Registri Windows menetapkan ActiveX mengontrol nomor unik, yang disebut GUID (pengenal unik global). Mekanisme kill-bit blacklist GUID tertentu dalam registri Windows sehingga komponen tidak dapat dijalankan.

Menurut sumber yang akrab dengan masalah ini, Microsoft mengambil langkah tidak biasa merilis patch darurat untuk bug pada hari Selasa. Microsoft biasanya hanya merilis patch "di luar siklus" ini ketika peretas mengeksploitasi kelemahan dalam serangan dunia nyata. Namun dalam kasus ini rincian kekurangan masih rahasia dan Microsoft mengatakan bahwa serangan itu tidak digunakan dalam serangan.

"Ini pasti benar-benar membuat Microsoft takut," kata Schultze, berspekulasi tentang mengapa Microsoft mungkin telah mengeluarkannya. patch -of-cycle.

Ini mungkin juga mencerminkan masalah public relations canggung untuk Microsoft, yang telah bekerja lebih erat dengan peneliti keamanan dalam beberapa tahun terakhir. Jika Microsoft telah meminta para peneliti untuk menunda pembicaraan mereka sampai set berikutnya dari patch dijadwalkan secara rutin - karena 11 Agustus - perusahaan mungkin telah menghadapi backlash karena telah menekan penelitian Black Hat.

Microsoft sendiri telah menyediakan beberapa rincian tentang tambalan darurat, yang ditetapkan akan dirilis pada hari Selasa pukul 10.00 waktu pantai Barat.

Akhir Jumat lalu, perusahaan mengatakan rencananya untuk merilis perbaikan kritis untuk Internet Explorer serta Visual Studio terkait patch dinilai "moderat."

Namun, masalah yang memungkinkan para peneliti memotong mekanisme kill-bit mungkin terletak pada komponen Windows yang banyak digunakan yang disebut Perpustakaan Template Aktif (ATL). Menurut peneliti keamanan Halvar Flake, cacat ini juga merupakan kesalahan untuk bug ActiveX yang diidentifikasi Microsoft awal bulan ini. Microsoft mengeluarkan patch kill-bit untuk masalah ini pada 14 Juli, tetapi setelah melihat ke dalam bug, Flake memutuskan bahwa patch tidak memperbaiki kerentanan yang mendasarinya.

Salah satu peneliti yang menyajikan di Black Hat, Ryan Smith, melaporkan cacat ini untuk Microsoft lebih dari setahun yang lalu dan cacat ini akan dibahas selama pembicaraan Black Hat, sumber dikonfirmasi Senin.

Seorang juru bicara Microsoft menolak untuk mengatakan berapa banyak kontrol ActiveX dijamin melalui mekanisme kill-bit yang menjelaskan bahwa perusahaan "tidak memiliki informasi tambahan untuk berbagi tentang masalah ini," sampai tambalan dilepaskan. Tetapi Schutze mengatakan bahwa ada cukup bahwa patch Selasa harus diterapkan sesegera mungkin. "Jika Anda tidak menerapkan ini, sepertinya Anda telah mencopot 30 patch sebelumnya," katanya.

Smith menolak berkomentar untuk cerita ini, mengatakan dia tidak diizinkan untuk membahas masalah ini menjelang pembicaraan Black Hat-nya. Dua peneliti lainnya yang terlibat dalam presentasi ini bekerja untuk IBM. Dan sementara IBM menolak untuk membuat mereka tersedia untuk komentar Senin, juru bicara perusahaan Jennifer Knecht menegaskan bahwa pembicaraan Black Hat Rabu terkait dengan patch Selasa Microsoft.