På onsdag ser det ud til, at en præsentation på Black Hat-konferencen vil sætte spot på et alvorligt sikkerhedsproblem, som kan have store konsekvenser.
Sikkerhedsfolkene Mark Dowd, Ryan Smith og David Dewey vil vise, hvordan den såkaldte 'kill-bit' mekanisme, der anvendes til at deaktivere sårbare ActiveX-kontroller, kan omgås.
"Dræbte" ActiveX-kontroller kan startes
På en video viser Ryan Smith, hvordan deaktiverede ActiveX-kontroller alligevel kan aktiveres og anvendes til at overtage kontrollen med en pc.
I videoen er der sat en killbit, så Microsoft Video Control ikke burde kunne loades i Internet Explorer.
Alligevel har sikkerhedsforskerne fundet en måde at omgå killbit-mekanismen, så Microsoft Video Control aktiveres og anvendes til at tage kontrollen over pc'en.
I videoen illustreres det rimeligt harmløst med at starte Windows' lommeregner, calc.exe. Ondsindede hackere kan imidlertid vælge at gøre langt mere alvorlige ting.
Videoen slutter med ordene:
"Kom og se vores præsentation for mere om killbit bypass og andre goodies. Onsdag, 29. juli 3.15 pm -> 4.30"
Sikkerhedsekspert: Stort problem
Videoen afslører ikke de tekniske detaljer om, hvordan man omgår killbit-mekanismen.
Sikkerhedsanalytikere er dog ikke i tvivl om, at det er et alvorligt problem, der er fundet.
Microsoft bruger ofte kill-bit instruktioner som en hurtig måde at sikre Internet Explorer mod angreb, der udnytter sårbare ActiveX-kontroller.
Ved at omgå killbit-mekanismen kan hackere aktivere deaktiverede sårbare ActiveX-kontroller og dermed få adgang til sårbarheder, som brugerne ellers troede var fixet.
"Det her er stort, fordi du kan starte kontroller, som ikke er beregnet til at blive startet. Ved at besøge en ondsindet website, kan de kriminelle gøre, hvad de har lyst til, selv om jeg har installeret patches," siger Eric Schultze, chief technology officer hos sikkerhedsfirmaet Shavlik Technologies.
Windows Registry tildeler ActiveX-kontrollerne unikke numre kaldet GUIDs (globally unique identifiers), og kill-bit mekanismen blacklister bestemte GUIDs i Windows registry'et, så komponenterne ikke kan køre.
Killbit-omgåelse og dagens Microsoft-opdatering
Som Computerworld rapporterede i går, vil Microsoft i dag frigive hasteopdateringer til Internet Explorer og Visual Studio.
Hasteopdateringerne kædes sammen med den forventede offentliggørelse af killbit-mekanismens utilstrækkelighed på Black Hat-konferencen.
Ryan Smith ønsker ikke at kommentere sagen overfor IDG News Service inden hans oplæg på Black Hat-konferencen.
De to andre sikkerhedsfolk, Mark Dowd og David Dewey, arbejder for IBM og kunne heller ikke kommentere.
Men en IBM-talskvinde, Jennifer Knecht, bekræfter overfor IDG News Service, at onsdagens Black Hat-præsentation hænger sammen med Microsoft's patches, der udsendes i dag.
En talsmand fra Microsoft ønsker ikke at oplyse, hvor mange ActiveX-kontroller, der er sikret ved hjælp af kill-bit mekanismen, men siger, at Microsoft "ikke har mere information at dele om det emne" før patchene frigives senere i dag.
