Exploit dla luki Zero Day w Internet Explorerze
Microsoft musi zacząć myśleć o awaryjnej łacie dla Internet Explorera. Exploit dla zgłoszonej niedawno luki w mechanizmie przetwarzania kaskadowych arkuszy stylów (CSS) jest bowiem gotów. Można go pobrać z bazy exploit-db.com.
W krótkim teście przeprowadzonym przez redakcję heise Security otworzył on w Windows XP z Internet Explorerem 8 tylne wejście (Reverse Shell) na porcie 4444. Aby jednak szkodliwy kod zadziałał, konieczne było wyłączenie w Internet Explorerze 8 włączonej domyślnie blokady wykonywania danych (DEP). Zatem opisywane zagrożenie nie dotyczy przynajmniej użytkowników Internet Explorera 8. Jednak w przypadku Internet Explorera 6 i 7 ochrona DEP jest fabrycznie nieaktywna i tam exploit natychmiast zadziała.
Zagrożenie
Potencjalny napastnik może przez tylną furtkę uzyskać dostęp do komputera z Windows lub zainstalować malware. W dotychczasowej opinii Microsoftu usterka w obsłudze CSS nie spełniała kryteriów obligujących go do przygotowania awaryjnej łaty - między innymi dlatego, że do tej pory odnotowano tylko nieliczne ukierunkowane ataki na użytkowników w przedsiębiorstwach, a użyty exploit nie był upubliczniony.
Ochrona
Do czasu wydania łaty producent zaleca włączenie blokady wykonywania danych (DEP) dla Internet Explorera w systemach Windows 7, Vista lub XP. Najprostszym sposobem uaktywnienia blokady DEP w przypadku Internet Explorera 7 jest pobranie i uruchomienie narzędzia Fix it przygotowanego przez Microsoft. Dodatkowo istnieje drugie narzędzie Fix it, które odrzuca zdefiniowane przez użytkownika arkusze CSS, unieszkodliwiając ataki.
Przyda się ono zwłaszcza użytkownikom Internet Explorera 6, których jest jeszcze całkiem sporo. Oprócz tego blokadę DEP i inne mechanizmy ochronne można włączyć w Windows za pomocą zestawu narzędzi EMET (Enhanced Mitigation Experience Toolkit).
