Microsoft tenta corrigir o ataque de kill bits do IE

forçados a emitir patches de emergência para seu sistema operacional Windows depois que os pesquisadores descobriram uma maneira de contornar um mecanismo de segurança crítico no navegador Internet Explorer.

Durante uma palestra na quarta-feira na conferência Black Hat em Las Vegas, os pesquisadores Mark Dowd, Ryan Smith e David Dewey mostrará uma maneira de contornar o mecanismo 'kill-bit' usado para desabilitar os controles ActiveX com bugs. Uma demonstração em vídeo postada por Smith mostra como os pesquisadores conseguiram contornar o mecanismo, que verifica os controles ActiveX que não podem ser executados no Windows. Eles conseguiram explorar um controle ActiveX com bugs para executar um programa não autorizado no computador da vítima.

Embora os pesquisadores não tenham revelado os detalhes técnicos por trás de seu trabalho, esse bug pode ser um grande problema, dando aos hackers uma maneira de explorar problemas ActiveX que foram pensados ​​anteriormente para ter sido atenuados via kill-bits.

[Leia mais: Como remover malware do seu PC com Windows]

"É enorme porque então você pode executar controles na caixa que não foram não se destina a ser executado ", disse Eric Schultze, diretor de tecnologia da Shavlik Technologies. "Então, ao visitar um site maléfico, os criminosos podem fazer o que quiserem, mesmo que eu tenha aplicado o patch".

A Microsoft geralmente emite essas instruções como uma maneira rápida de proteger o Internet Explorer contra ataques que exploram bugs Software ActiveX. O Registro do Windows atribui números exclusivos aos controles ActiveX, chamados de GUIDs (identificadores globais exclusivos). O mecanismo kill-bit lista alguns GUIDs no registro do Windows para que os componentes não possam ser executados.

Segundo fontes familiarizadas com o assunto, a Microsoft está dando o passo incomum de lançar um patch de emergência para o bug na terça-feira. A Microsoft normalmente só libera esses patches "fora de ciclo" quando os hackers estão explorando a falha em ataques do mundo real. Mas neste caso os detalhes da falha ainda são secretos e a Microsoft disse que o ataque não está sendo usado em ataques. "Isso deve ter realmente assustado a Microsoft", disse Schultze, especulando por que a Microsoft pode ter lançado o problema. Também pode refletir um problema de relações públicas difícil para a Microsoft, que tem trabalhado mais de perto com os pesquisadores de segurança nos últimos anos. Se a Microsoft pedisse aos pesquisadores que interrompessem suas conversas até o próximo conjunto de correções programadas da empresa - devido a 11 de agosto - a empresa poderia ter enfrentado uma reação por ter suprimido a pesquisa da Black Hat.

A própria Microsoft forneceu poucos Detalhes sobre os patches de emergência, que devem ser divulgados na terça-feira às 10h, horário da costa oeste.

Na sexta-feira passada, a empresa anunciou que planejava lançar uma correção crítica para o Internet Explorer e um Visual Studio relacionado. No entanto, o problema que permite que os pesquisadores ignorem o mecanismo kill-bit pode estar em um componente do Windows amplamente utilizado, chamado Active Template Library (ATL). Segundo o pesquisador de segurança Halvar Flake, essa falha também é responsável por um bug ActiveX que a Microsoft identificou no início deste mês. A Microsoft lançou um patch kill-bit para o problema em 14 de julho, mas depois de investigar o bug, Flake determinou que o patch não corrigiu a vulnerabilidade subjacente.

Um dos pesquisadores presentes na Black Hat, Ryan Smith, reportou essa falha para a Microsoft há mais de um ano e essa falha será discutida durante a palestra Black Hat, fontes confirmadas na segunda-feira.

Um porta-voz da Microsoft se recusou a informar quantos controles ActiveX estão protegidos pelo mecanismo kill-bit, explicando que a empresa "não tem informações adicionais para compartilhar sobre esse problema" até que as correções sejam lançadas. Mas Schutze disse que há o suficiente para que o patch de terça-feira seja aplicado o mais rápido possível. "Se você não aplicar isso, é como se tivesse desinstalado 30 patches anteriores", disse ele.Smith se recusou a comentar a história, dizendo que não tinha permissão para discutir o assunto antes de sua palestra sobre a Black Hat. Os outros dois pesquisadores envolvidos no trabalho de apresentação da IBM. E enquanto a IBM se recusou a disponibilizá-los para comentários na segunda-feira, a porta-voz da empresa, Jennifer Knecht, confirmou que a palestra de quarta-feira na Black Hat está relacionada às atualizações da Microsoft na terça-feira.