在本周拉斯维加斯Black Hat会议上的周三演讲中,研究人员Mark Dowd,Ryan Smith David Dewey将展示一种绕过用于禁用有问题的ActiveX控件的“杀死位”机制的方法。 Smith发布的视频演示展示了研究人员如何绕过该机制,该机制检查不允许在Windows上运行的ActiveX控件。然后,他们能够利用有问题的ActiveX控件来在受害者的计算机上运行未经授权的程序。尽管研究人员没有透露他们工作背后的技术细节,但这个漏洞可能是一个大问题,给黑客提供了一种方式利用先前被认为已通过kill-bits缓解的ActiveX问题。
[进一步阅读:如何从Windows PC中删除恶意软件]
“这非常巨大,因为您可以在未执行此操作的盒子上执行控制“无意执行”,Shavlik Technologies首席技术官Eric Schultze说。 “所以,通过访问一个邪恶的网站[犯罪分子]可以做任何他们想要的东西,即使我已经应用了这个补丁。”
微软通常发布这些杀戮指令作为保护Internet Explorer免受利用漏洞ActiveX软件。 Windows注册表分配ActiveX控件的唯一号码,称为GUID(全局唯一标识符)。 kill-bit机制将Windows注册表中的某些GUID列入黑名单,以便组件无法运行。据知情人士透露,微软周二正在采取不寻常的措施为该bug发布紧急补丁。当黑客利用现实世界攻击中的漏洞时,微软通常只会发布这些“非周期”补丁。但在这种情况下,这个漏洞的细节仍然是秘密,微软表示这次攻击没有被用于攻击。“这一定让微软真的感到害怕,”Schultze说道,揣测微软为什么会发布这也可能反映了微软公司的一个尴尬的公共关系问题,微软近年来一直与安全研究人员密切合作。如果微软要求研究人员继续讨论他们的谈话,直到公司的下一批定期补丁 - 到8月11日为止 - 该公司可能因为抑制黑帽研究而面临反弹。
微软本身提供了很少紧急补丁的详细信息将在周二上午10点在西海岸时间公布。
上周五晚些时候,该公司表示计划发布针对Internet Explorer的关键修复以及相关的Visual Studio修补程序评级为“中等”。
但是,让研究人员绕过kill-bit机制的问题可能在于广泛使用的称为活动模板库(ATL)的Windows组件。根据安全研究人员Halvar Flake的说法,这个漏洞也是微软本月早些时候发现的一个ActiveX错误的原因。微软在7月14日发布了针对该问题的杀手级补丁,但在查看该漏洞后,Flake确定该补丁没有修复潜在的漏洞。
其中一位在Black Hat举办的研究人员Ryan Smith报道这个漏洞将在一年多以前发布,并且这个漏洞将在黑帽谈话中讨论,消息人士周一证实说。
微软的一位发言人拒绝透露,通过kill-bit机制解决公司有多少ActiveX控件是安全的“没有额外的信息来分享这个问题”,直到补丁发布。但Schutze说,应该尽快应用星期二补丁就够了。 “如果你不应用这个,就像你卸载了30个以前的补丁,”他说。“
史密斯拒绝对这个故事发表评论,称他在黑帽谈话前不允许讨论这件事。另外两名研究人员参与了IBM的演示工作。尽管IBM拒绝在星期一发表评论,但公司发言人Jennifer Knecht证实,周三黑帽会谈与微软周二的补丁有关。