Potenciální bezpečnostní hrozba. Prosím, čtěte! (961051)
Update_9 [17:20, 18.12.08]: Vřele doporučuji přečíst si tento článek od jednoho z našich vývojových inženýrů o tom, jak tato "a jí podobné" záplaty vznikají.Update_8 [19:01]: Aktualizace Internet Explorer je k dispozici pomocí služby Windows Update. Další informace o stažení a instalaci této opravy naleznete Microsoft Security Bulletin MS08-078. Nezávisle ověřeno, na MS firemním notebooku update vyžadoval restart (ale není to pravidlo, záleží na konfiguraci). |
Update_7 [18:06]:Bude potřeba naistalovat jak MS08-073, tak i MS08-078 (MS08-078 není kumulativní). K "nákaze" může dojít buď tak, že uživatel sám navštíví infikovanou webovou stránku nebo přijme email v HTML formátu - zde je třeba kliknout na link apod. (zatím byl zaznamenán jen první způsob zneužití, pravděpodobně proto, že všechny podporované verze Outlooku a Outlook Expressu otevírají HTML emaily v "Restricted sites zone").
Aktualizaci bude možné provést buď přes Windows Update, Microsoft Update, MBSA 2.1, WSUS 2.0 a WSUS 3.0, SMS ITMU a SCCM 2007
Update_6 [17:38]: Dosud zaznamenaná zneužití chyby byly vedeny pouze proti IE 7 a nebyly ve větším měřítku.
Update_5 [15:30]: Pokud si přejete, do budoucna, přes RSS odebírat informace ze světa MS bezpečnosti, které vyjdou na tomto blogu, zde je RSS. Nedávno jsme na téma bezpečnosti (obecně) na tomto blogu již psali.
Update_4: Vyšla upřesňující informace k chystanému update pod označemím MS08-078 (EN), aktualizace by měla vyjít v průběhu noci ze středy na čtvrtek (více také zde (EN)).
Update_3: Na toto téma vyšel KB článek (EN; knowledge base/znalostní databáze).
Update_2: Jste-li "IT security" kontakt pro vaši organizaci, prosím, registrujte se zde.
Update_1: Zde (EN) najdete informaci o napadených webových stránkách.
Nedávno byla nalezena chyba v kódu Internet Exploreru v následujících konfiguracích:
- Windows Internet Explorer 7 na
o Windows XP Service Pack 2, Windows XP Service Pack 3,
o Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2,
o Windows Vista, Windows Vista Service Pack 1 a
o Windows Server 2008.
- Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6 a Windows Internet Explorer 8 Beta 2 na všech podporovaných verzích Microsoft Windows jsou potenciálně také v ohrožení.
Na tuto chybu zatím není aktualizace, ale již se na ní pracuje. Prosím, sledujte naše bezpečnostní bulletiny (CZ) . Nabízíme ale některé kroky/návody, které mohou potenciální nebezpeční zmírnit, případně úplně vyloučit.Nic není bez chyb a mnohem důležitější, než nalezení chyby, je rychlá reakce, aby nedošlo k jejímu zneužití. Malou statistiku, jak rychle která platforma reaguje na hrozby, naleznete zde.
Krátký popis aktuální hrozby
Tato zranitelnost existuje jako chybný ukazatel ve funkcích Internet Exploreru, které zajišťují vazbu mezi daty (data binding) Internet Exploreru. Pokud je „data binding“ povolené, což je výchozí nastavení Internet Exploreru, může být objekt (např. různé komponenty webových stránek) za určitých okolností uvolněn z paměti, aniž by byla aktualizována informace o seznamu objektů, a tím tak potenciálně umožnit přístup k paměti, který využíval uvolněný objekt. Toto může způsobit neočekávané ukončení Internet Exploreru ve stavu, který je zneužitelný útočníkem.
Některá naše doporučení
- Protected mód Internet Exploreru 7 a Internet Exploreru 8 Beta 2 ve Windows Vista podstatně snižuje dopad zranitelnosti
- Internet Explorer ve Windows Server 2003 a Windows Server 2008 je provozován v „restricted mode“ jako výchozí nastavení. Tento mód používá nastavení vysokého zabezpečení pro stránky v internetu, což podstatně snižuje možnost zneužití. Zobrazovány jsou pouze stránky, které administrátor jmenovitě přidá do seznamu povolených stránek.
- Případný útočník, který úspěšně využil této zranitelnosti, získává stejná uživatelská práva jako uživatel, který je přihlášený. Uživatelé používající uživatelské účty, které jsou nastaveny pro práci s nižšími uživatelskými právy, jsou méně postiženi na rozdíl od uživatelů, kteří pracují s administrátorskými oprávněními.
- Aktuálně známé útoky nemohou využít této zranitelnosti automatizovaně pomocí emailu.
V závislosti na našem šetření tohoto problému jsou-li nastaveny zóny internetu na vysoké zabezpečení, je operační systém ochráněn před těmito útoky. Nicméně pro efektivní ochranu mohou zákazníci zvolit kombinaci vysokého zabezpečení internetových zón ve spojení s následujícími opatřeními:
A – ochrana proti existujícím útokům pomocí blokování přístupu ke zneužitelnému kódu v knihovně MSHTML.dll pomocí OLEDB
B – aplikování co možná nejvíce zabezpečené konfigurace operačního systému a Internet Exploreru proti této zranitelnosti
C – volitelně můžete zvolit tuto variantu, která minimalizuje riziko zneužití
| Opatření | A | B | C |
| 1. Nastavení zón Internet Exploreru „local intranet“ na „vysoké zabezpečení“ tak, aby se Internet Explorer dotazoval před spouštěním ActiveX komponent a Active Scripting v těchto zónách | X | X | |
| 2. Nastavte Internet Explorer tak, aby se dotázal před spuštěním „Active Scripting“, anebo zakažte „Active Scripting“ v zónách „Internet“ a „local intranet“ | X | X | |
| 3. Zakázání funkcionality „XML Data Island“ (využití XML dat v těle HTML stránky - https://msdn.microsoft.com/en-us/library/aa923725.aspx) pomocí nastavení ACL (oprávnění) ke knihovně MSXML3.dll tak, aby tuto knihovnu nevyužíval Internet Explorer | X | ||
| 4. Omezení využití OLEDB32.dll pomocí Internet Exploreru nastavením „Integrity Level ACL“ | X | ||
| 5. Zakázání funkcionality „Row Position“ knihovny OLEDB32.dll – ve spojení s bodem 6. A 7. | X |
||
| 6. Odregistrovat OLEDB32.dll | X | ||
| 7. Použití ACL pro zakázání OLEDB32.dll | X | ||
| 8. Povolení DEP (Data Execution Prevention) pro Internet Explorer 7 na operačních systémech Windows Vista a Windows Server 2008 | X | ||
| 9. Zakázání podpory „Data Binding“ v Internet Exploreru 8 | X | X |
Přehled dalších zdrojů:
a. Microsoft Security Advisory (961051) (EN)
b. The Microsoft Security Response Center (EN)
c. Security Vulnerability Research & Defense (EN)
A jak si stojíme v počtu ohrožení, to najdete zde. (kde je uvedeno více systémů, znamená, že došlo k útoku jedním virem/červem/... na více platforem najednou, celkový počet útoků na jednu platformu je součet všech "procent", u kterých se název této platformy vyskytuje).
Radim Petratur, Ondřej Výšek, Jaroslav Maurenc
radim (at) microsoft.com
PS1: setkáte-li se ve vaší organizaci s napadením, které využívá tuto chybu v IE, prosím, dejte mi vědět
PS2: jste-li "security kontakt" ve vaší organizaci, prosím, zaregistrujte se takto u společnosti Microsoft