Microsoft khẳng định lỗi ngày số 0 mới của Windows

Microsoft confirms new Windows zero-day bug

Các tin tặc có thể sử dụng các ảnh dị hình để tấn công XP, Vista, Server 2003 và 2008

Hackers can use malformed images to hijack XP, Vista, Server 2003 and 2008

By Gregg Keizer

January 4, 2011 02:50 PM ET

Theo: http://www.computerworld.com/s/article/9203179/Microsoft_confirms_new_Windows_zero_day_bug

Bài được đưa lên Internet ngày: 04/01/2011

Lời người dịch: Còn nhớ, năm 2010, và nhất là tháng 12/2010 là tháng lập kỷ lục mọi thời đại của Microsoft về số lượng các bản tin về an ninh và số lượng lổi phải vá. Và mới bước sang tháng 1/2011, Microsoft đã có một đống các lỗi khác: “Áp lực là lên Microsoft”, Storms nó trong một cuộc phỏng vấn thông điệp tức thì. “Họ đã có một lỗi ngày số 0 nổi tiếng trong IE cộng với một lỗi WMI Active X mà Secunia đã đưa ra một cảnh báo hôm 22/12. Kết hợp những lo lắng với một câu chuyện ngoài lề lớn hơn nhiều về lổi cross_fuzz và bây giờ [một] lổi điều khiển ảnh tất cả làm thành một lời chúc mừng năm mới cho Microsoft”. Giá mà là GNU/Linux, thì có lẽ nó đã có lệnh cấm toàn quốc từ lâu rồi chứ nhỉ???)

Computerworld – Microsoft hôm này đã khẳng định một chỗ bị tổn thương chưa được vá trong Windows chỉ vài giờ sau khi một bộ công cụ tấn công đã đưa ra một khai thác đối với lỗi này.

Một bản vá đang được xây dựng, những Microsoft chưa có kế hoạch đưa ra một sự khẩn cấp, hoặc một cập nhật “ngoại lệ” để sửa lổi này.

Lổi này lần đầu được nói tới vào ngày 15/12 tại hội nghị an ninh tại Hàn Quốc, nhưng có sự chú ý hơn vào hôm thứ ba khi công cụ thâm nhập Metasploit nguồn mở đã đưa ra một module khai thác bị tác động bởi nhà nghiên cứu Josshua Drake.

Theo Metasploit, các cuộc tấn công thành công có khả năng gây tổn thương cho các máy tính cá nhân nạn nhân, sau đó đưa ra phần mềm độc hại vào các máy tính để cướp phá chúng lấy thông tin hoặc tuyển mộ chúng vào một botnet tội phạm.

Chỗ bị tổn thương tồn tại trong máy trình diễn đồ họa của Windows, mà nó điều khiển một cách không phù hợp các ảnh nhỏ (thumbnail), và có thể xảy ra khi một người sử dụng xem một thư mục có chứa một ảnh nhỏ làm giả với trình quản lý tệp của Windows, hoặc mở hoặc xem một số tài liệu của Office.

Microsoft đã thừa nhận lổi này trong một tư vấn an ninh, và nói Windows XP, Vista, Server 2003 và Server 2008 đã bị tổn thương. Các hệ điều hành mới nhất, Windows 7 và Server 2008 R2, không bị.

Những kẻ tấn công có thể cho những người sử dụng ăn các tài liệu PowerPoint hoặc Word độc hại có chứa một ảnh nhỏ kỳ dị – sau đó khai thác các máy PC của họ nếu tài liệu được mở hoặc thậm chí được xem, Microsoft nói.

Như một lựa chọn thay thế, các tin tặc có thể tấn công các máy tính bằng việc thuyết phục những người sử dụng xem một ảnh nhỏ kỳ dị trong một thư mục hoặc ổ đĩa chia sẻ của mạng, hoặc trong một thư mục chia sẻ tệp WebDAV trực tuyến.

Computerworld - Microsoft today confirmed an unpatched vulnerability in Windows just hours after a hacking toolkit published an exploit for the bug.

A patch is under construction, but Microsoft does not plan to issue an emergency, or "out-of-band," update to fix the flaw.

The bug was first discussed Dec. 15 at a South Korean security conference, but got more attention Tuesday when the open-source Metasploit penetration tool posted an exploit module crafted by researcher Joshua Drake.

According to Metasploit, successful attacks are capable of compromising victimized PCs, then introducing malware to the machines to pillage them for information or enlist them in a criminal botnet.

The vulnerability exists in Windows' graphics rendering engine, which improperly handles thumbnail images, and can be triggered when a user views a folder containing a specially crafted thumbnail with Windows' file manager, or opens or views some Office documents.

Microsoft acknowledged the bug in a security advisory, and said Windows XP, Vista, Server 2003 and Server 2008 were vulnerable. The newest operating systems, Windows 7 and Server 2008 R2, were not.

Attackers could feed users malicious PowerPoint or Word documents containing a malformed thumbnail, then exploit their PCs if the document was opened or even previewed, said Microsoft. Alternately, hackers could hijack machines by convincing users to view a rigged thumbnail on a network shared folder or drive, or in an online WebDAV file-sharing folder.

“Đây là một chỗ bị tổn thương chạy mã nguồn từ xa. Một kẻ tấn công mà đã khai thác thành công chỗ bị tổn thương này có thể kiểm soát hoàn toàn một hệ thống bị lây nhiễm”, tư vấn của Microsoft nói.

“Chỗ bị tổn thương bị khai thác bằng việc thiết lập số lượng các chỉ số màu trong bảng màu [của tệp ảnh] sang thành số âm”, Johnnes Ullrich, phụ trách nghiên cứu tại Viện SANS, nói.

Microsoft đã khuyến cáo một sự khắc phục tạm thời mà nó bảo vệ PC chống lại cuộc tấn công cho tới khi có được bản vá. Sự khắc phục này, mà nó bổ sung nhiều hạn chế hơn vào tệp “shimgvw.dll” - thành phần mà xem trước ảnh trong Windows – đòi hoải những người sử dụng gõ một xâu ký tự vào một dấu nhắc lệnh. Tuy nhiên, làm như vậy nghĩa là “các tệp phương tiện thường được điều khiển bởi Máy Trình diễn Đồ họa sẽ không hiển thị được đúng”, Microsoft nói.

Trong khi Microsoft nói hãng đã không biết về bất kỳ cuộc tấn công tích cực nào, thì lổi mới này là một lổi khác được bổ sung vào một danh sách đang gia tăng các chỗ bị tổn thương chưa được vá, Andrew Storms, giám độc về an ninh tại nCirrcle Security, nói.

“Áp lực là lên Microsoft”, Storms nó trong một cuộc phỏng vấn thông điệp tức thì. “Họ đã có một lỗi ngày số 0 nổi tiếng trong IE cộng với một lổi WMI Active X mà Secunia đã đưa ra một cảnh báo hôm 22/12. Kết hợp những lo lắng với một câu chuyện ngoài lề lớn hơn nhiều về lổi cross_fuzz và bây giờ [một] lổi điều khiển ảnh tất cả làm thành một lời chúc mừng năm mới cho Microsoft”.

Microsoft đã khẳng định một lỗi sống còn trong IE 2 tuần trước; hôm chủ nhật, kỹ sư an ninh của Google Michal Zalewski nói ông đã chứng kiến rằng các tin tặc Trung Quốc đã thử một lỗi khác trong trình dutệt của Microsoft.

“Với Microsoft chỉ đóng cửa đối với bản vá lớn nhất của năm ngoái, thì năm 2011 lại đang không bắt đầu trong chiều hướng tích cực”, Storms nói.

Năm ngoái, Microsoft đã đưa ra một kỷ lục 106 bản tin an ninh để vá một kỷ lục 266 chỗ bị tổn thương. Bản vá Ngày thứ 3 tiếp theo được lên lịch như thường lệ của Microsoft là vào này 11/01. Nếu hãng duy trì sự phát triển bình thường của nó và tốc độ kiểm thử, thì một sửa lổi có lẽ sẽ có vào tuần sau.

"This is a remote code execution vulnerability. An attacker who successfully exploited this vulnerability could take complete control of an affected system," Microsoft's advisory stated.

"The vulnerability is exploited by setting the number of color indexes in the color table [of the image file] to a negative number," added Johannes Ullrich, the chief research officer at the SANS Institute.

Microsoft recommended a temporary workaround that protects PCs against attack until a patch is released. The workaround, which adds more restrictions on the "shimgvw.dll" file -- the component that previews images within Windows -- requires users to type a string of characters at a command prompt. Doing so, however, means that "media files typically handled by the Graphics Rendering Engine will not be displayed properly," said Microsoft.

While Microsoft said it didn't know of any active attacks, the new bug is another to add to a growing list of unpatched vulnerabilities, said Andrew Storms, director of security at nCircle Security.

"The pressure is on Microsoft," said Storms in an instant message interview. "They already have an outstanding zero-day in [Internet Explorer] plus a WMI Active X bug that Secunia issued a warning about [on Dec. 22]. Combine those concerns with a much bigger side story regarding cross_fuzz and now [an] image handling bug all make it a happy new year for Microsoft."

Microsoft confirmed a critical bug in IE two weeks ago; on Sunday, Google security engineer Michal Zalewski said he had evidence that Chinese hackers were probing a different flaw in Microsoft's browser.

"With Microsoft just closing the door on its largest patch year yet, 2011 is not starting out in a positive direction," Storms said.

Last year, Microsoft issued a record 106 security bulletins to patch a record 266 vulnerabilities.

The next regularly-scheduled Microsoft Patch Tuesday is Jan. 11. If the company maintains its normal development and testing pace, a fix is very unlikely next week.