Microsoft stadig tavs om udsatte programmer

Af GREGG KEIZER, Computerworld

Offentliggjort 03.09.10 kl. 17:19

Microsoft vil stadig ikke fortælle, hvilke programmer der er sårbare over for DDL hijacking-angreb, og virksomheden tilbyder nu i stedet et automatiseret værktøj til blokering af angreb.

Computerworld News Service: Microsoft vil stadig ikke nævne navnet på de Windows-programmer, der - hvis de overhovedet findes - indeholder fejl, som kan lede til de såkaldte "DLL load hijacking"-angreb.

Tirsdag udgav virksomheden et automatiseret værktøj, der skal kunne gøre det nemmere for brugerne at blokere angreb, som udnytter sårbarheder i en lang række Windows-applikationer.

DLL load hijacking-sårbarhederne findes i en del Windows-applikationer, eftersom programmerne ikke finder frem til kodebibliotekerne - bedre kendt som "dynamic-link library," eller "DDL" - ved hjælp af deres fulde navne, men i stedet via filnavnet.

Det kan kriminelle udnytte ved at snyde programmet til at downloade en ondsindet fil af samme navn som den påkrævede DDL. Resultatet: Hackerne kan tage kontrol over pc'en og plante malware på maskinen.

"Microsoft planlægger at tage hånd om de af vores produkter, der er påvirkede af problemet, på den måde, der er bedst for kunderne," skrev Jerry Bryant, som er group manager ved Microsoft Security Response Center, i et blogindlæg tirsdag.

"Det vil først og fremmest ske i form af sikkerhedsopdateringer eller 'defense-in-depth'-opdateringer," fortsatte han.

Microsoft vil som sagt stadig ikke fortælle, hvilke programmer det drejer sig om, men udenforstående researchere peger på flere højt profilerede applikationer som mulige mål, heriblandt Word 2007, PowerPoint 2007 og 2010, Address Book og Windows Contact, og Windows Live Mail.

Software fra andre leverandører kan på samme måde være i fare, for eksempel Mozillas Firefox, Googles Chrome og Adobes Photoshop.

Jerry Bryant antyder, at en del af Microsofts software kan være sårbart. "Eftersom kunderne skal klikke sig igennem en række advarsler og dialoger for at åbne den ondsindede fil, har vi valgt at kategorisere de fleste af sårbarhederne som 'vigtige'," sagde han med en hentydning til den næsthøjeste trusselsvurdering i virksomhedens firedelte vurderingssystem. Microsoft anvender typisk vurderingen 'vigtig' til beskrivelse af sårbarheder som kan udnyttes over afstand - via internettet eller per mail for eksempel - men som samtidig kræver brugerens assistance på en eller anden måde, typisk ved at han eller hun klikker sig igennem advarsler eller åbner en ondsindet fil.

I et andet blogindlæg beskriver Jonathan Ness, der er ingeniør hos MSRC, og Maarten Van Horenbeeck, der er MSRC program manager, hvordan kunder kan hente og bruge det værktøj, som virksomheden udsendte 23. august.

Værktøjet er målrettet it-professionelle, og det fungerer ved at blokere download af ekstern DDL, for eksempel fra USB-drev, hjemmesider og en organisations netværk.

Ikke overraskende anerkender Microsoft, at brugerne har bedt om hjælp til værktøjet. Kort tid efter udgivelsen begyndte it-medarbejdere at spørge kollegaer om hjælp til konfigurationen og klage over, at værktøjet er forvirrende.

For at gøre tingene nemmere har Microsoft lagt et "Fix it"-værktøj op på virksomhedens support-side, som automatisk kan blokere DDL i at loade fra WebDAV eller SMB (Server Message Block)-shares, som er to af de mest sandsynlige angrebs-vektorer. Brugerne skal dog stadig downloade og installere det originale værktøj.

Jonathan Ness og Maarten Van Horenbeeck nedtoner også truslens betydning og fortæller, at DLL load hijacking-fejl ikke kan udnyttes i de såkaldte "drive-by"-angreb, hvor brugerens pc bliver inficeret, så snart hun eller han kommer ind på en ondsindet hjemmeside.

"Offeret vil skulle ind på en ondsindet WebDAV-server eller en ondsindet SMB-server og dobbeltklikke på en fil i Windows Explorer-vinduet, som den ondsindede server står bag," siger de.

Microsoft har kendt til problemet i hvert fald siden august, 2009, da researchere på University of California underrettede virksomheden om deres arbejde. Der findes dog rapporter, som går helt tilbage til 2000, og der var angreb med udgangspunkt i sårbarheden allerede året efter, da ormen Nimda udnyttede fejlen i Office 2000.

HD Moore, som er chief security officer ved Rapid7 og skaber af Metasploit-værktøjet til penetrationstest, var den første, der kunne afsløre det potentielle angreb, da han den 19. august fortalte, at han havde fundet frem til 40 sårbare Windows-applikationer.

HD Moore blev fulgt af andre researchere, som hver havde deres bud på antallet af udsatte programmer, fra flere end 200 til færre end 30.

Nogle leverandører har allerede rettet problemet i deres software. Både uTorrent og Wireshark, som er henholdsvis en BitTorrent-klient og et værktøj til analyse af netværksprotokoller, er blevet opdaterede af samme grund.

Andre arbejder på det. "Vi er i gang med at teste vores egen Firefox-specifikke rettelser, og vi planlægger at udsende dem til brugerne inden så længe." svarede Mozillas security team i en e-mail i sidste uge.

Men Microsoft fortæller, at rettelserne måske nok vil være lang tid undervejs for nogle brugere. "Vi må anerkende, at det nok vil tage noget tid, inden alle applikationerne er blevet opdaterede, og at det ikke vil være muligt at opdatere visse applikationer," indrømmer Jerry Bryant.

Næst efter rettelser vil opdateringsværktøjet udgøre det bedste forsvar, fortsætter han. Derfor planlægger Microsoft at gøre værktøjet tilgængeligt "inden for de næste par uger" til download og brug ved hjælp af Server Update Services (WSUS), som er den mest udbredte opdaterings-mekanisme for virksomheder.

Virksomheden overvejer at udsende værktøjet til alle, heriblandt til forbrugerne, via Windows Update, selv om det dog som default vil være slået fra, fortæller Jerry Bryant.

Oversat af Marie Dyekjær Eriksen