Microsoft se précipite pour réparer l'attaque d'octet IE Kill-bit

Lors d'une conférence mercredi à Las Vegas, les chercheurs Mark Dowd et Ryan Smith et David Dewey montrera un moyen de contourner le mécanisme de 'kill-bit' utilisé pour désactiver les contrôles ActiveX bogués. Une démonstration vidéo publiée par Smith montre comment les chercheurs ont pu contourner le mécanisme, qui vérifie les contrôles ActiveX qui ne sont pas autorisés à fonctionner sous Windows. Ils ont ensuite pu exploiter un contrôle ActiveX buggé afin d'exécuter un programme non autorisé sur l'ordinateur d'une victime.

Bien que les chercheurs n'aient pas révélé les détails techniques derrière leur travail, ce bug pourrait être un gros problème, donnant aux pirates un moyen

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

"C'est énorme parce que vous pouvez alors exécuter des contrôles sur la boîte qui était «Je ne voulais pas être exécuté», a déclaré Eric Schultze, directeur de la technologie chez Shavlik Technologies. "En visitant un site Web malfaisant, [les criminels] peuvent faire tout ce qu'ils veulent, même si j'ai appliqué le correctif."

Microsoft publie souvent ces instructions kill-bit comme un moyen rapide de sécuriser Internet Explorer contre les attaques exploitant buggy Logiciel ActiveX. Le registre Windows attribue des numéros uniques aux contrôles ActiveX, appelés GUID (identifiants globaux uniques). Le mécanisme de kill-bit blackliste certains GUID dans le registre de Windows afin que les composants ne puissent pas être exécutés.

Selon des sources proches du sujet, Microsoft prend l'initiative inhabituelle de publier un correctif d'urgence pour le bug mardi. Microsoft ne publie généralement ces correctifs «hors-cycle» que lorsque les pirates informatiques exploitent la faille dans les attaques du monde réel. Mais dans ce cas, les détails de la faille sont encore secrets et Microsoft a déclaré que l'attaque n'est pas utilisée dans les attaques.

"Cela a vraiment effrayé Microsoft", a déclaré Schultze, spéculant sur les raisons pour lesquelles Microsoft aurait pu sortir

Cela peut également refléter un problème de relations publiques gênant pour Microsoft, qui a travaillé plus étroitement avec les chercheurs en sécurité au cours des dernières années. Si Microsoft avait demandé aux chercheurs de suspendre leur discussion jusqu'à la prochaine série de correctifs régulièrement programmés par l'entreprise - prévue le 11 août - l'entreprise aurait pu faire face à une réaction négative pour avoir supprimé la recherche Black Hat.

Microsoft lui-même a fourni détails sur les correctifs d'urgence, qui doivent être publiés mardi à 10h00, heure de la côte Ouest.

Vendredi dernier, la société a annoncé qu'elle prévoyait de publier un correctif critique pour Internet Explorer ainsi qu'un Visual Studio associé. Le problème qui permet aux chercheurs de contourner le mécanisme kill-bit peut résider dans un composant Windows largement utilisé appelé Active Template Library (ATL). Selon le chercheur en sécurité Halvar Flake, cette faille est également responsable d'un bogue ActiveX que Microsoft a identifié plus tôt ce mois-ci. Microsoft a publié un correctif pour le problème le 14 juillet, mais après avoir examiné le problème, Flake a déterminé que le correctif ne corrigeait pas la vulnérabilité sous-jacente.

Un des chercheurs présentait chez Black Hat, Ryan Smith, Cette faille à Microsoft il y a plus d'un an et cette faille sera discutée lors de la conférence Black Hat, ont confirmé lundi des sources.

Un porte-parole de Microsoft a refusé de dire combien de contrôles ActiveX sont sécurisés "n'a pas d'informations supplémentaires à partager sur ce problème", jusqu'à ce que les correctifs soient publiés. Mais Schutze a dit qu'il y en a assez que le patch du mardi devrait être appliqué dès que possible. "Si vous n'appliquez pas cela, c'est comme si vous aviez désinstallé 30 patches antérieurs", a-t-il dit.

Smith a refusé de commenter cette histoire, disant qu'il n'avait pas le droit de discuter de la question avant sa conférence Black Hat. Les deux autres chercheurs impliqués dans la présentation travaillent pour IBM. Et tandis qu'IBM a refusé de les rendre disponibles pour commenter lundi, la porte-parole de la compagnie, Jennifer Knecht, a confirmé que le discours de mercredi sur Black Hat est lié aux correctifs de mardi de Microsoft.