Microsoft блокує атаки на IE по-новому

admin Новини ІТ-безпеки

Shim для IEКомпанія Microsoft звернулася до нового способу захисту, щоб допомогти користувачам запобігти атакам, що використовують відому вразливість в Internet Explorer.

"Shim для IE сьогодні є новинкою", - повідомив Ендрю Стормс, директор відділу управління безпекою компанії nCircle Security.  "Сьогодні ми не очікували появи патча для IE, але ми також не очікували появи shim".

Shim - це невелика бібліотека, яка прозоро перехоплює API-виклики та/або змінює параметри, сама обробляє операцію або перенаправляє її куди-небудь.  Стормс повідомив, що ця техніка застосована на сьогоднішній день для тимчасової фіксації, Microsoft використовувала Windows Application Compatibility Toolkit, щоб модифікувати IE так, щоб він став несприйнятливим до атак, які використовують вразливість в обробці рекурсивних CSS (Cascading Style Sheets).

"Це перший раз, коли вони використовували Application Compatibility Toolkit, щоб протистояти 0-day вразливості", - сказав Стормс.(Раджу переглянути -За Stuxnet стояли спецслужби)

Програма, яка була частиною Windows з часів XP, була розроблена, щоб дозволити більш раннім додаткам, розробленим для застарілих версій ОС, працювати в нових версіях операційної системи.

Microsoft майстерним чином використовувала Application Compatibility Toolkit, щоб модифікувати головну бібліотеку IE - Mshtml.dll, яка містить механізм візуалізації.  Модифікація запобігає рекурсивному отриманню CSS, що ефективно запобігає існуючій атаці.

"Microsoft використовувала App Comp досить несподіваним способом", - сказав Стормс.  "Її зробили знаряддям, що допомагає протистояти 0-day. Вони збираються використовувати все, що є у них в арсеналі, в цьому вся суть".

Інші дослідники також схвалили нову тактику.

"Це було винахідливо", - зазначив Вольфганг Кандек, технічний директор Qualys, каліфорнійського постачальника послуг у сфері проведення аудиту та управління ризиками.  "Нам це подобається, оскільки рішення проблеми було знайдено раніше, ніж випущений справжній патч".  Qualys визнала сьогодні, що після застосування заснованого на сумісності оновлення, останній експлойт зазнав поразки.

"Одна чудова річ щодо shim полягає в тому, що не потрібно деінсталювати попередню версію для установки патча", - сказав Стормс.

Кандек очікує, що Microsoft залатає існуючі "діри" в IE 8 лютого, під час звичайного щомісячного "Вівторка патчів".  Тим не менш, Стормс розглянув випуск shim як хороший натяк на те, що Microsoft вирішить проблему в достроковому порядку або випустить "екстрене" оновлення для браузера ще раніше.

"Я думаю, що у них вже є оновлення, але вони не задоволені відгуками, які вони отримали, таким чином у них все ще залишається можливість випуску екстреного оновлення - якщо кількість атак і експлойтів зашкалить", - сказав Сторм.

Microsoft вперше визнала вразливість CSS в IE 22 грудня, через кілька тижнів після того, як французька фірма безпеки Vupen випустила повідомлення, яке містило докази, що всі версії IE, включаючи IE 8, вразливі й можуть бути атаковані.

З того часу Microsoft так само визнала, що простежує активні атаки, що використовують дану уразливість.  Компанія повторила дане попередження сьогодні, знову повідомляючи що були помічені лише "обмежені атаки з використанням цієї самої уразливості".

Дана уразливість IE - лише одна з декількох в продуктах Microsoft, які залишилися без необхідних патчів.  Минулого тижня компанія визнала серйозний недолік у Windows XP, Vista, Server 2003 and Server 2008, а також підтвердила, що бачила повідомлення про те, що китайські хакери опублікували інформацію про ще одну вразливість в IE.