Potenciální bezpečnostní hrozba. Prosím, čtěte! (961051)

Potenciální bezpečnostní hrozba. Prosím, čtěte! (961051)

  • Comments 18
  • Likes

Update_9 [17:20, 18.12.08]: Vřele doporučuji přečíst si tento článek od jednoho z našich vývojových inženýrů o tom, jak tato "a jí podobné" záplaty vznikají.

Update_8 [19:01]: Aktualizace Internet Explorer je k dispozici pomocí služby Windows Update. Další informace o stažení a instalaci této opravy naleznete Microsoft Security Bulletin MS08-078. Nezávisle ověřeno, na MS firemním notebooku update vyžadoval restart (ale není to pravidlo, záleží na konfiguraci).

Update_7 [18:06]:Bude potřeba naistalovat jak MS08-073, tak i MS08-078 (MS08-078 není kumulativní). K "nákaze" může dojít buď tak, že uživatel sám navštíví infikovanou webovou stránku nebo přijme email v HTML formátu - zde je třeba kliknout na link apod. (zatím byl zaznamenán jen první způsob zneužití, pravděpodobně proto, že všechny podporované verze Outlooku a Outlook Expressu otevírají HTML emaily v "Restricted sites zone").

Aktualizaci bude možné provést buď přes Windows Update, Microsoft Update, MBSA 2.1, WSUS 2.0 a WSUS 3.0, SMS ITMU a SCCM 2007

Update_6 [17:38]: Dosud zaznamenaná zneužití chyby byly vedeny pouze proti IE 7 a nebyly ve větším měřítku.

Update_5 [15:30]: Pokud si přejete, do budoucna, přes RSS odebírat informace ze světa MS bezpečnosti, které vyjdou na tomto blogu, zde je RSS. Nedávno jsme na téma bezpečnosti (obecně) na tomto blogu již psali.

Update_4: Vyšla upřesňující informace k chystanému update pod označemím MS08-078 (EN), aktualizace by měla vyjít v průběhu noci ze středy na čtvrtek (více také zde (EN)).

Update_3
: Na toto téma vyšel KB článek (EN; knowledge base/znalostní databáze). 

Update_2: Jste-li "IT security" kontakt pro vaši organizaci, prosím, registrujte se zde.

Update_1: Zde (EN) najdete informaci o napadených webových stránkách.

Nedávno byla nalezena chyba v kódu Internet Exploreru v následujících konfiguracích:

-          Windows Internet Explorer 7 na

o   Windows XP Service Pack 2, Windows XP Service Pack 3,

o   Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2,

o   Windows Vista, Windows Vista Service Pack 1 a

o   Windows Server 2008.

-          Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6 a Windows Internet Explorer 8 Beta 2 na všech podporovaných verzích  Microsoft Windows jsou potenciálně také v ohrožení.

 Na tuto chybu zatím není aktualizace, ale již se na ní pracuje. Prosím, sledujte naše bezpečnostní bulletiny (CZ). Nabízíme ale některé kroky/návody, které mohou potenciální nebezpeční zmírnit, případně úplně vyloučit. Nic není bez chyb a mnohem důležitější, než nalezení chyby, je rychlá reakce, aby nedošlo k jejímu zneužití. Malou statistiku, jak rychle která platforma reaguje na hrozby, naleznete zde.

Krátký popis aktuální hrozby

Tato zranitelnost existuje jako chybný ukazatel ve funkcích Internet Exploreru, které zajišťují vazbu mezi daty (data binding) Internet Exploreru. Pokud je „data binding“ povolené, což je výchozí nastavení Internet Exploreru, může být objekt (např. různé komponenty webových stránek) za určitých okolností uvolněn z paměti, aniž by byla aktualizována informace o seznamu objektů, a tím tak potenciálně umožnit přístup k paměti, který využíval uvolněný objekt. Toto může způsobit neočekávané ukončení Internet Exploreru ve stavu, který je zneužitelný útočníkem.

Některá naše doporučení

  • Protected mód Internet Exploreru 7 a Internet Exploreru 8 Beta 2 ve Windows Vista podstatně snižuje dopad zranitelnosti
  • Internet Explorer ve Windows Server 2003 a Windows Server 2008 je provozován v „restricted mode“ jako výchozí nastavení. Tento mód používá nastavení vysokého zabezpečení pro stránky v internetu, což podstatně snižuje možnost zneužití. Zobrazovány jsou pouze stránky, které administrátor jmenovitě přidá do seznamu povolených stránek.
  • Případný útočník, který úspěšně využil této zranitelnosti, získává stejná uživatelská práva jako uživatel, který je přihlášený. Uživatelé používající uživatelské účty, které jsou nastaveny pro práci s nižšími uživatelskými právy, jsou méně postiženi na rozdíl od uživatelů, kteří pracují s administrátorskými oprávněními.
  • Aktuálně známé útoky nemohou využít této zranitelnosti automatizovaně pomocí emailu.

V závislosti na našem šetření tohoto problému jsou-li nastaveny zóny internetu na vysoké zabezpečení, je operační systém ochráněn před těmito útoky. Nicméně pro efektivní ochranu mohou zákazníci zvolit kombinaci vysokého zabezpečení internetových zón ve spojení s následujícími opatřeními:

A – ochrana proti existujícím útokům pomocí blokování přístupu ke zneužitelnému kódu v knihovně MSHTML.dll pomocí OLEDB
B – aplikování co možná nejvíce zabezpečené konfigurace operačního systému a Internet Exploreru proti této zranitelnosti
C – volitelně můžete zvolit tuto variantu, která minimalizuje riziko zneužití

Opatření A B C
1. Nastavení zón Internet Exploreru „local intranet“ na „vysoké zabezpečení“ tak, aby se Internet Explorer dotazoval před spouštěním ActiveX komponent a Active Scripting v těchto zónách   X X
2. Nastavte Internet Explorer tak, aby se dotázal před spuštěním „Active Scripting“, anebo zakažte „Active Scripting“ v zónách „Internet“ a „local intranet“   X X
3. Zakázání funkcionality „XML Data Island“ (využití XML dat v těle HTML stránky - http://msdn.microsoft.com/en-us/library/aa923725.aspx) pomocí nastavení ACL (oprávnění) ke knihovně MSXML3.dll tak, aby tuto knihovnu nevyužíval Internet Explorer X    
4. Omezení využití OLEDB32.dll pomocí Internet Exploreru nastavením „Integrity Level ACL“ X    
5. Zakázání funkcionality „Row Position“ knihovny OLEDB32.dll – ve spojení s bodem 6. A 7.

X

   
6. Odregistrovat OLEDB32.dll X    
7. Použití ACL pro zakázání OLEDB32.dll X    
8. Povolení DEP (Data Execution Prevention) pro Internet Explorer 7 na operačních systémech Windows Vista a Windows Server 2008     X
9. Zakázání podpory „Data Binding“ v Internet Exploreru 8 X X  

Přehled dalších zdrojů:

a. Microsoft Security Advisory (961051) (EN)
b. The Microsoft Security Response Center
(EN)
c. Security Vulnerability Research & Defense (EN)

A jak si stojíme v počtu ohrožení, to najdete zde. (kde je uvedeno více systémů, znamená, že došlo k útoku jedním virem/červem/... na více platforem najednou, celkový počet útoků na jednu platformu je součet všech "procent", u kterých se název této platformy vyskytuje).

Radim Petratur, Ondřej Výšek, Jaroslav Maurenc
radim (at) microsoft.com

PS1: setkáte-li se ve vaší organizaci s napadením, které využívá tuto chybu v IE, prosím, dejte mi vědět
PS2: jste-li "security kontakt" ve vaší organizaci, prosím, zaregistrujte se takto u společnosti Microsoft

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • Díky za info!

    Tyto hrozby jsou však známy už delší dobu, viz např.:

    http://research.eeye.com/html/alerts/zeroday/20081209.html

    http://www.kb.cert.org/vuls/id/493881

    http://www.networkworld.com/news/2008/120908-new-web-attack-exploits-unpatched.html?fsrc=rss-security

    Z článku nijak nevyplývá, že se to netýká 64-bit WIE 7/8 ani že v 64-bit OS existuje snadno napadnutelný (dokonce by MS defaultní!!) WIE 32-bit.

    Správně nastavený MSIE/WIE si můžete vyzkoušet na této stránce:

    http://downloads.securityfocus.com/vulnerabilities/exploits/32721-vista.html

    Obsah stránky by se neměl objevit a antivirový systém by měl nahlásit bloodhound v IE-cache.

  • Ten obrázek s rychlostí reakce na zranitelnost je úsměvný.

  • To Enki> Dobry den Enki, prosim, mate-li, podelte se o opaku (doba reakce na chyby v ruznych platformach). Cas od casu se setkavame s negativnim vnimanim MS ve vztahu k bezpecnosti, myslim ale, ze se veci jiz zmenily. Napr. ISA, za dobu sve existence nebyla "prolomena"!

    Hezky den preje, Radim

  • To Radim: Pokud vím, tak nejen třeba ISA, ale i IIS nebyla prolomena. A dle posledního žebříčku nejnebezpečnějšího SW je na prvním místě Firefox a první MS produkt je až na 12. místě s Live Messengerem!

    Bohužel fakta jsou někdy méně, než lidský pocit.

  • Dobrý den, nechci 100% hájit žádný z prohlížečů, ale naprostá odevzdanost např. FF asi taky není namístě. Včera byly zveřejněny některé chyby v poslední verzi, přičemž 3 označené jako critical a není na ně oprava. Jedna z těchto chyb může útočníkovi spustit kód. Stejně tak se můžeme podívat kolik critical chyb bylo od doby vydání poslední verze uveřejněno.... více přímo na stránkách FF http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

  • Je to na zamyšlení. Někdy až mám pocit, že kdyby MS bylo zticha a obeslalo maximálne IT Security komunitu, pak by vše bylo v klidu. Takhle o tom píše kdejaký amatér na idnes.cz a ty diskuze pod tím, toje opravdu pro silné povahy. osobně používám IE už 10 let a vir jsem měl dvakrát, a to z diskety, co dělám blbě?

  • Být zticha: ano, i toto by bylo mozne, a v deviti pripadech z deseti by to melo mnohem mensi dopad na pozitivni/negativni vnimani, ALE co ten desaty...? "Proc jste nam to nerekli...? Za to muzete vy!" apod.. A toto si nemuzeme dovolit. Snazime se byt (jak jen se da) otevreni.

  • Můžete prosím uvést návod co dělat pokud už se ato hrozba naplnila (užíval jsem explorer 7), můj antivirus Avast ji našel soubory napadené "virem" rootkit a nabízí mi jen odstranit napadené soubory, mezi těmito soubory jsou však i systémové komponenty Windows. Nemůžete mi poradit co dělat? Diky

  • Upřesním jak jsem to myslel. Srovnávat reakční dobu u tak odlišných jako je linux a windows (a macosx) je vpodstatě nesmysl. V linuxových systémech je riziko poškození systému známou chybou minimální (http://proc.linux.cz/?bezpecnost). Ve windows může vést k fatálním následkům.

    To že MS bere bezpečnost konečně vážně je dobře, ale obávám se že bojuje s vlastním konceptem na kterém jsou windows založeny. ISA server je skutečně jeden z nejlepších firewallů které existují.

  • To Honza: Lepší budou diskusní skupiny www.microsoft.com/cze/communities/skupiny/default.mspx

    nebo

    http://forums.microsoft.com/technetczsk/default.aspx?siteid=62

    Jste si jistý, že to je zrovna tato hrozba? Nabootujte do nouzového režimu a proveďte antivirový test. Soubory si před výmazem zazálohujte.

  • Co musím uznat je fakt, že téma bezpečnost vždy rozpoutá diskuzi. Toto je snad rekordní počet komentářů pod jeden post. :o)

  • A uz jste cetli toto? "Nová verze Firefoxu 3.0.5: osm bezpečnostních oprav, tři kritické" http://www.zive.cz/Bleskovky/Nova-verze-Firefoxu-305-osm-bezpecnostnich-oprav-tri-kriticke/sc-4-a-144931/default.aspx

  • To Radim: Firefox, Chrome, IE, Safari, všechno je tak bezpečné, jak bezpečně se umí chovat uživatel. Toť můj názor...

  • to enki: Považovat web proc.linux.cz za zdroj objektivních a pravdivých informací je stejně tak hloupé jako věřit tomu, že když necháte kdekoliv v ČR na chodníku peněženku, že tam druhý den tam bude.

    Z obsahu na onom "webu" vyplývá, že linux je jediný systém, kde se s bezpečností počítá, a že jinde na to všichni kašlou. To je totální blábol a směšná propaganda. U všech dnešních OS se s bezpečností počítá od nejhlubších vrstev, ale chyby jsou prostě v každém softwaru. Microsoft se k bezpečnosti už hezkých pár let staví velmi zodpovědně, narozdíl od mnoha jiných.

  • Ono diskutovat to jak je co bezpečné či nikoliv je hezké a vždy rozpoutá diskuzi :) Položme se na problém. Pokud by existovaly kvalitní web stránky, nemohly by být provedeny útoky typu SQL injection, které vloží kód, jenž může následně zneužít/využít jakéhokoliv problému v jakémkoliv operačním systému či programu. Můžeme ale zajít dál, jak tu výše bylo řečeno, počítač je tak bezpečný, jak se chová uživatel, dovolím si odhadnout, že "kvalitní" weby tímto problémem netrpí. Povětšinou to budou weby, které nabízejí obsah nelegální, pornografický,... Můžeme jít ale ještě dál, ale asi již do hypotetické roviny, proč existují / co útočníky vede k tomu, aby tyto útoky vedli ? Myslím si, že není možné napsat jasnou odpověď na problém, který je natolik komplexní (od výrobce software, přes webmastery, konzumenty obsahu webu až po útočníky). Možná je tento příspěvek pouhým plácnutím do vody, ale stejně tak doufám, že přispěje k porozumění této problematiky tak nějak z nadhledu, aniž by uživatel (více či méně IT znalý), musel dělat rezolutní rozhodnutí - "nebudu používat "něco", protože je kolem toho "humbuk"" (berte s rezervou a velmi nadneseně:) )