Der er ikke udsigt til "pakkeregn" fra Microsoft i december måned. Windows-brugere over hele verden må derfor kigge langt efter de ventede sikkerhedspakker fra softwaregiganten. Pakker som ellers var ventet og imødeset, da de lukker flere huller i bl.a. Internet Explorer.
På trods af, at der allerede udnyttes en sårbarhed til at bære ondsindet kode ind på allerede opdaterede Windows-baserede operativsystemer, har Microsoft ikke frigivet en sikkerhedsopdatering, som lukker hullet.
Microsoft har besluttet at udskyde den næste samling af sikkerhedsopdateringer til januar 2004. Dermed bliver et gabende hul ved med at være åbent i hele december måned.
Hullet efterlader både plads og grobund til ondsindet kode og potentielt risiko for, at en e-mail baseret Internet orm vil udnytte en eller flere af de ikke lukkede sårbarheder.
Flere alvorlige sårbarheder i Internet Explorer blev offentliggjort i slutningen af november. Sårbarheder, som gør det muligt for ondsindede brugere, at afvikle vilkårlig kode på en brugers system, uden at denne behøver at foretage sig andet, end at læse indholdet af mailen i "preview pane" under Outlook, eller følge en genvej i e-mailen.
Selv fuldt opdaterede systemer, er omfattet af dette problem, som gør det muligt, at afvikle kode automatisk og med samme rettigheder som den bruger der anvender systemet.
En kombination af flere kendte sårbarheder, som netop gør det muligt at køre kode, på et fuldt opdateret system, udnyttes i stigende grad til at inficere Windows systemer. Formålet er at bære spyware/addware, eller forskellige former for bagdøre, ind på Windows-systemer, som så efterfølgende kan kontrolleres til at sprede yderligere ondsindet kode, spam, eller igangsætte DDoS angreb mod udvalgte mål.
De nye sårbarheder i Internet Explorer, kombineret med det faktum, at de ikke er blevet korrigeret, og kan misbruges til at afvikle kode automatisk, fuldender trusselsbilledet. Og så netop i december måned, hvor der traditionen tro sendes julehilsner på kryds og tværs. Problemet bliver ikke mindre af, at komplet "proof of concept" er til rådighed og klar til at misbrugt.
Siden starten af oktober har Microsoft søsat et nyt initiativ, som ellers skulle gøre det lettere, at foretage opdateringer og vedligeholde software. I stedet for at frigive opdateringer løbende bliver de i stedet offentliggjort den samme dato (den anden tirsdag i hver måned).
Det skulle gøre arbejdet lettere for systemadministratorer med ansvar for at opdatere og vedligeholde Windows arbejdsstationer ligesom det skulle lette overblikket for de mange private brugere. Når der udebliver en så omfattende samling af opdateringer, så efterlades mange Windows systemer gabende åbne overfor angreb.
Hvorfor Microsoft ikke finder det kritisk at opdatere i december måned er uklart. Det loves på Microsoft´s hjemmeside, at der vil blive frigivet kritiske opdateringer hvis det skønnes nødvendigt.
Den sårbarhed, som konkret anvendes i forskellige former for ondsindet kode, er baseret på MHTML. En kombination af kendte sårbarheder gør det muligt, via en mhtml:file:// kommando, at afvikle en vedhæftet fil i en e-mail, eller kode som befinder sig på en fremmed hjemmeside. Der er ikke tale om det exploit, som tidligere er blevet lappet, men en ny variation, som afvikles på trods af, at alle relevante opdateringer er installeret på systemet.
Selvom denne teknik endnu udnyttes i et begrænset omfang, er det værste scenarie naturligvis, at teknikken indplantes i en e-mail baseret orm, som automatisk afvikler kode hos modtageren afhængig af sikkerhedsindstillingerne på det pågældende system.
Der er derfor ingen umiddelbar udsigt til, at vi kan lulle os i søvn med udsigt til julehygge og gløgg. Freden kan nemt blive ødelagt hvis de sårbarheder, som Microsoft endnu ikke har lappet udnyttes i en ondsindet internet orm eller udnyttes til at plante anden skadelig kode på Windows-systemer.
Der findes i dag 20 sårbarheder, som afventer en tiltrængt sikkerhedslap fra Microsoft.
En liste over sårbarheder, som ikke er blevet lukket, kan findes på nedenstående adresse. Siden forsøger at fortsætte, hvor danske Thor Larholm slap arbejdet.
Peter Kruse
Kruse Security