Las Vegasの今週のBlack Hatカンファレンスでの水曜日の講演で、Mark Dowd、Ryan Smith David Deweyは、バグの多いActiveXコントロールを無効にするために使用される「kill-bit」メカニズムをバイパスする方法を示します。 Smithが投稿したビデオデモでは、研究者がWindows上で実行できないActiveXコントロールをチェックするメカニズムをバイパスする方法を示しています。彼らは、被害者のコンピュータで不正なプログラムを実行するために、バグのあるActiveXコントロールを利用することができました。
研究者は技術的な詳細を明らかにしていませんが、このバグは大きな問題になります。以前はキルビットで緩和されていたと考えられていたActiveXの問題を悪用していました。
[詳しい情報:Windows PCからマルウェアを削除する方法]
Shavlik Technologiesの最高技術責任者、Eric Schultzeは次のように述べています。 「悪意のあるWebサイトを訪問することで、犯罪者はパッチを適用しても何でもできます」Microsoftは一般に、バグを悪用する攻撃からInternet Explorerを保護する迅速な手段として、 ActiveXソフトウェア。 Windowsレジストリは、GUID(グローバルに一意の識別子)と呼ばれるActiveXコントロールの一意の番号を割り当てます。キルビットメカニズムは、Windowsレジストリ内の特定のGUIDをブラックリストに登録し、コンポーネントを実行できないようにしている。Microsoftはこの問題に詳しい情報筋によると、火曜日に緊急パッチをリリースするという珍しいステップを踏み出している。ハッカーが実際の攻撃の欠陥を悪用している場合、マイクロソフトは通常、これらの「アウトオブサイクル」パッチをリリースします。しかし、この場合、欠陥の詳細は依然として秘密で、マイクロソフトは攻撃が攻撃に使用されていないと述べている。「これはマイクロソフトを本当に脅かすはずだ」とシュルツze氏はMicrosoftがまた、近年のセキュリティ研究者と密接に協力してきたMicrosoftの広範なPR問題を反映している可能性もあります。 8月11日に予定されている次回の定期的なパッチがリリースされるまで、マイクロソフトが研究者に話しかけてもらうよう依頼した場合、Microsoftはブラックハットの研究を抑止したことによる反発に直面した可能性がある。
緊急パッチに関する詳細は、西海岸時間午前10時(日本時間午前10時)にリリースされる予定です。
先週末の金曜日、同社はInternet Explorerと関連するVisual Studioしかし、研究者がキルビットメカニズムをバイパスできる問題は、アクティブテンプレートライブラリ(ATL)と呼ばれる広く使用されているWindowsコンポーネントにある可能性があります。セキュリティ研究者のHalvar Flake氏によると、この欠陥は今月初めにMicrosoftが特定したActiveXバグのせいだとしている。マイクロソフト社は7月14日にこの問題に対するキルビットパッチを発行したが、バグを調べたところ、このパッチが根本的な脆弱性を修正していないと判断した。
ブラックハットで発表した研究者の1人、マイクロソフトの広報担当者は、キルビットメカニズムを介していくつのActiveXコントロールがセキュリティで保護されているかを言及しなかったパッチがリリースされるまで、「この問題について共有する追加情報はありません」。しかし、Schutzeは、火曜日のパッチができるだけ早く適用されるべきであると十分に言った。 「これを適用しなければ、30個のパッチをアンインストールしたようなものだ」と彼は言った。
スミス氏は、ブラックハットの話に先立ってこの問題について話し合うことは許されていないと述べ、この話についてコメントすることを拒否した。他の2人の研究者がIBMのプレゼンテーションに携わっています。 IBMの広報担当者Jennifer Knecht氏は、水曜日のブラック・ハット・トークは、Microsoftの火曜日のパッチに関連していることを確認した。