Компания Microsoft обратилась к новой мере защиты, чтобы помочь пользователям
предотвратить ведущиеся атаки, использующие известную уязвимость в Internet
Explorer.
"Shim для IE сегодня является новинкой", - сообщил Эндрю Стормс, директор
отдела управления безопасностью компании nCircle Security. "Сегодня мы не
ожидали появления патча для IE, но мы также не ожидали появления shim".
Шим - это небольшая библиотека, которая прозрачно перехватывает
API-вызовы и/или изменяет параметры, сама обрабатывает
операцию или перенаправляет ее куда-либо. Стормс сообщил, что эта техника
применена на сегодняшний день для временной фиксации, Microsoft использовала
Windows Application Compatibility Toolkit, чтобы модифицировать IE так, чтобы он
стал невосприимчивым к атакам, которые используют
уязвимость в обработке рекурсивных CSS
(Cascading Style Sheets).
"Это первый раз, когда они использовали Application Compatibility Toolkit,
чтобы противостоять 0-day уязвимости", – сказал Стормс.
Программа, которая была частью Windows со времен XP, была разработана, чтобы
позволить более ранним приложениям, разработанным для устаревших версий ОС,
работать в новых версиях операционной системы.
Microsoft искусным образом использовала Application Compatibility Toolkit,
чтобы модифицировать основную библиотеку IE - Mshtml.dll, которая содержит
механизм визуализации. Модификация предотвращает рекурсивную загрузку CSS, что
эффективно предотвращает существующие атаки.
"Microsoft использовала App Comp достаточно неожиданным способом", - сказал
Стормс. "Ее сделали орудием, помогающим противостоять 0-day. Они собираются
использовать все, что есть у них в арсенале, в этом вся суть".
Другие исследователи также одобрили новую тактику.
"Это было изобретательно", - отметил Вольфганг Кандек, технический директор
Qualys, калифорнийского поставщика услуг в области проведения аудита и
управления рисками. "Нам это нравится, поскольку решение проблемы было найдено
раньше, чем выпущен настоящий патч". Qualys признала сегодня, что после
применения основанного на совместимости обновления, последний эксплойт потерпел
поражение.
"Одна замечательная вещь относительно shim заключается в том, что не нужно
деинсталлировать предыдущую версию для установки патча", - сказал Стормс.
Кандек ожидает, что Microsoft залатает существующие "дыры" в IE 8 февраля, во
время обычного ежемесячного "Вторника патчей". Тем не менее, Стормс рассмотрел
выпуск shim как хороший намек на то, что Microsoft решит проблему в досрочном
порядке или выпустит"экстренное" обновление для браузера еще раньше.
"Я думаю, что у них уже есть обновление, но они не удовлетворены отзывами,
которые они получили, таким образом у них все еще остается возможность выпуска
экстренного обновления - если количество атак и эксплойтов зашкалит", - сказал
Сторм.
Microsoft впервые признала уязвимость CSS в IE 22 декабря, спустя несколько
недель после того, как французская фирма безопасности Vupen выпустила
уведомление, которое содержало доказательства, что все версии IE, включая IE 8,
уязвимы и могут быть атакованы.
С того времени Microsoft так же признала, что прослеживает активные атаки,
использующие данную уязвимость. Компания повторила данное предупреждение
сегодня, снова сообщая что были замечены только "ограниченные атаки с
использованием этой самой уязвимости".
Данная уязвимость IE - лишь одна из нескольких в продуктах Microsoft, которые
остались без необходимых патчей. На прошлой неделе компания признала серьезный
недостаток в Windows XP, Vista, Server 2003 and Server 2008, а также
подтвердила, что видела сообщения о том, что китайские хакеры опубликовали
информацию об еще одном недостатке в IE.
