0 Microsoft lança patch de correções para as falhas utilizadas por hackers em um ataque ao Google e outras Empresas

A Microsoft anunciou hoje o seu patch de emergência previsto para a falha do Internet Explorer abusado nos ataques alvo no Google e outras organizações será emitida amanhã, e não é que o IE não é o único vetor de ataque - várias aplicações do Microsoft Office podem também ser utilizados para salário de um ataque.

"Nós também estamos conscientes de que a vulnerabilidade pode ser explorada mediante a inclusão de um controle ActiveX em um Microsoft Access, Word, Excel ou PowerPoint. Clientes teriam de abrir um arquivo malicioso como estando em risco de exploração", disse Jerry Bryant, sênior gerente do programa de segurança para a Microsoft, em um post do blog hoje.

Bryant disse que os usuários devem desativar os controles ActiveX no Microsoft Office para impedir ataques vindos através desses arquivos. Como esses aplicativos fazer chamadas para mshtml.dll e ter os scripts ativos ativado por padrão, a falha no IE pode ser explorada através destes aplicativos ainda que a vulnerabilidade do IE não está realmente no apps. Microsoft diz que a aplicação do novo sistema irá resolver este problema, também.

Especialistas com conhecimento da onda de ataques direcionados para fora da China disse na semana passada que alguns documentos infectados Office, incluindo planilhas do Excel, tinha sido utilizada para atrair os usuários dentro das empresas vítima a abrir o que parecia ser arquivos de pessoas que conheciam. Uma vez que os arquivos foram abertos, eles corriam o exploit que deu um backdoor atacantes nas organizações vítima.

Microsoft retransmitidas as últimas informações sobre o patch e vetores de ataque hoje através de uma notificação prévia de amanhã MS10-002 out-of-band de atualização, uma vulnerabilidade que taxas como "crítica". A gigante do software diz que embora tenha havido um aumento na esses ataques, até agora têm sido limitados, ea "única ataques bem-sucedidos têm sido contra o Internet Explorer 6."

O patch de emergência abrange todas as versões do IE. O calor era a Microsoft esta semana, como código de exploração foi público e pesquisadores começou a reestruturar o código para trabalhar com versões mais recentes do IE, incluindo o IE 8 e mesmo ignorando dados da Microsoft Execution Prevention (DEP) recurso de segurança - uma medida que a Microsoft havia dito que mitigar o ataque. VUPEN Segurança revelou que era capaz de explorar a forma de contornar a DEP no IE 8, tornando-DEP inútil contra o ataque, enquanto renomado pesquisador Dino Dai Zovi escreveu um exploit que funciona no IE 6 e IE 7 no XP, assim como no IE 7 Vista - com browsers que não têm DEP habilitado.

Chaouki Bekrar, CTO da VUPEN Segurança, diz que sua equipe foi capaz de contornar a DEP no IE 8 e executar código arbitrário, que enviou o seu código de exploração para a Microsoft para análise.

Microsoft diz que enquanto o desvio DEP explorar foi fornecida para alguns antivírus, IDS e IPS fornecedores e agências de governo CERT, a empresa não viu todos os ataques no estado selvagem para isso.

Até agora, a Microsoft diz ter visto "privado" prova de conceito (PoC) código explorando o IE 7 no XP, código PoC privadas que exploram o IE 7 no Windows Vista sem DEP, e limitada disponibilidade comercial de PoC código explorando o IE 8 no XP . A gigante do software diz que não tem conhecimento de qualquer código PoC explorar o Windows Vista com a DEP.

Consultivo da Microsoft também confirmou que o Outlook, Outlook Express e Windows Live Mail tem um baixo risco de ser utilizados como vetores de ataque para esta vulnerabilidade, mas que não viu qualquer ataque sendo travada através essas aplicações. "Por padrão, o Outlook, Outlook Express e Windows Live Mail HTML abrir mensagens de correio electrónico na zona de sites restritos, o que ajuda a reduzir os ataques que procuram explorar essa vulnerabilidade, ao evitar scripts ativos e controles ActiveX sejam usados. Além disso, Outlook 2007 usa uma componente diferente para processar e-mail HTML, eliminando o risco da exploração ", blogged Bryant Microsoft.

Entretanto, o método de ataque Office é basicamente uma forma indirecta de chamar o código IE vulnerável, diz Roel Schouwenberg, pesquisador sênior de antivírus da Kaspersky Lab. "Enquanto o sistema está sem correção, não é suficiente apenas para endurecer IE: Office também precisa de ser endurecido como ele pode chamar o mesmo código, sem as restrições impostas ao IE especificamente", diz ele. "Desde que o IE eo Office contar com os mesmos arquivos para certas funcionalidades, corrigir o arquivo e, a vulnerabilidade é fixa em todo o sistema."

E é só uma questão de tempo até que os atacantes vão começar após o IE 7 e IE 8, dizem especialistas. "Apesar do fato de que nós vimos apenas ataques limitados usando essa vulnerabilidade, com código de explorar público, não há razão para pensar que não veremos mais tentativas de ataque, disse Joshua Talbot, gerente de Inteligência de Segurança para o Symantec Security Response, em um declaração.

Fonte: darkREADING
Link para correção: Download