Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Internet Explorer: защита нулевой зоны

Основная проблема безопасности пользователей программного обеспечения Microsoft отнюдь не в наличии «дыр», тем более что компания с завидной регулярностью выпускает бюллетени безопасности и публикует рекомендации по закрытию уязвимостей.

Причина «эпидемий», по справедливому мнению Microsoft, заключается в том, что рядовые пользователи и системные администраторы не следуют рекомендациям и «заплатки» не устанавливают.

Уже несколько дней в рубрике «today's news» на заглавной странице сайта Microsoft красуется ссылка на последнее критическое обновление, помогающее защититься против атак Download.Ject, инициатором которых выступил российский сервер.

Троянский вирус Download.Ject впервые был обнаружен компанией Symantec 15 июня 2004 г. Заражение компьютера происходит в том случае, если пользователь посетит сайт, содержащий вредоносный код. Download.Ject с помощью Internet Explorer записывает в корневой каталог диска файл с вирусом и запускает его, а затем вирус регистрирует все, что пользователь вводит с клавиатуры.

Присутствие Download.Ject на своем компьютере можно легко обнаружить. Достаточно найти на системном диске один из файлов: kk32.dll или surf.dat. Microsoft предлагает запустить окно командной строки cmd и выполнить в нем команду поиска:

dir /a /s /b %systemdrive%\kk32.dll

Если спустя некоторое время на экране появится путь к файлу, значит система уже заражена. В этом случае рекомендуется воспользоваться антивирусной программой. (Microsoft, разумеется, приводит в перечне ссылок пакеты только тех фирм, которые входят в альянс Microsoft Virus Information Alliance: это Symantec, F-Secure, Trend Micro, Network Associates и Computer Associates.)

Убедившись, что злонамеренной программы в системе нет, нужно, во-первых, установить последнее обновление Windows.

Как следует из описания на сайте Microsoft (KB870669), уязвимость была связана с некорректной обработкой объекта ADODB.Stream, позволяющей загрузить и выполнить произвольный файл в зоне безопасности Local Machine. Предлагается воспользоваться службой обновлений или самостоятельно отредактировать реестр так, чтобы Internet Explorer не запускал ActiveX-компоненты, работающие с объектом ADODB.Stream: в реестре создается ключ [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ ActiveX Compatibility\ {00000566-0000-0010-8000-00AA006D2EA4}] → «Compatibility Flags»= dword:00000400, после чего ADODB.Stream будет недоступен для веб-приложений.

В дополнение к рекомендации Microsoft в списке рассылки BugtraQ, Mike Cheng советует выставить ограничения в зоне безопасности «Local Machine».

По умолчанию эта зона скрыта в Internet Explorer, поэтому необходимо воспользоваться редактором реестра и внести изменения в ключ: [HKEY CURRENT USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\0] → «Flags»= dword:00000001. После чего следует зайти в меню браузера «Tools» → «Internet Options» → «Security» и выставить на значке «My Computer» уровень безопасности High или отредактировать параметры безопасности, выбрав «Custom Level».

Отметим, что существует статья KB833633 в базе знаний Microsoft, которая описывает, как настраивать зону безопасности «Local Machine» исключительно с помощью редактора реестра, но такой способ, скорее всего, не покажется удобным рядовому пользователю.

В BugtraQ (и в full-disclosure), как сообщает uinc.ru, разгорелись дискуссии о существовании уязвимости, позволяющей использовать модифицированный эксплоит.

Дело в том, что помимо уязвимости в компоненте ActiveX ADODB.Stream существует ещё уязвимость в компоненте Shell.Application, о чём сообщил известный исследователь http-eqiuv и подтвердил Лю Ди Ю (Liu Die Yu, не менее известный исследователь уязвимостей в Internet Explorer). Drew Copley из eEye сообщил способ обхода: необходимо подправить ключ реестра [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ ActiveX Compatibility\ {13709620-C279-11CE-A49E-444553540000}], установив «Compatibility Flags»= dword:00000400.

Подчеркивается, что эта брешь известна исследователям давно, около 10 месяцев. Фирмой eEye выпущена небольшая утилита, выложенная на их сайте, помогающая устранить уязвимость.

Объект Shell.Application используется системными администраторами для автоматизированной настройки системы с помощью сценариев с использованием WSH (Windows Scripting Host). eEye отмечает, что после установки «заплатки» WSH-сценарии будут работать медленнее. К сожалению, компания Microsoft пока не выпустила фирменного обновления, закрывающего доступ к Shell.Application через Internet Explorer.

Активное обсуждение Download.Ject в интернете привело к росту интереса пользователей к альтернативным браузерам.

Сразу несколько организаций рекомендовали пользователям отказаться от использования Internet Explorer ввиду наличия в нем большого количества «дыр», которыми пользуются хакеры.

Эти рекомендации опубликовало, в частности, и министерство внутренней безопасности США на своем совместном с организацией CERT веб-сайте US-CERT (US Computer Emergency Readiness Team). Призывы экспертов возымели свое действие, и многие пользователи решили перейти на альтернативные решения. Как рассказал журналу Wired директор по разработке Mozilla Foundaton Крис Хофманн, практически сразу после выпуска рекомендации CERT количество загрузок браузера Mozilla Firefox удвоилось и достигло примерно 200 тысяч копий в день.

По данным SecurityLab.ru, с начала 2004 года доля пользователей, использующих браузер Internet Explorer при посещении сайта SecurityLab.ru, упала с 88% (январь-2004) до 69% (июнь-2004). При этом резко возрасла доля использования последней версии браузера Opera (7.х) — с 4% (январь-2004) до 21% (июнь-2004).

На сайте slate.msn.com появилась заметка «Are the Browser Wars Back?», автор которой предлагает пользоваться альтернативными браузерами.

Само по себе содержание статьи не представляет интереса, оно сводится примерно к следующему: «Explorer уязвим, я попробовал Firefox, пользуюсь уже неделю и забыл про Explorer».

Интересно, что аббревиатура MSN означает «Microsoft Network» и на странице со статьей «Are the Browser Wars Back?», как и на любой странице msn.com, стоит копирайт: «2004, Microsoft Corporation. All rights reserved.»

Новости и материалы
Посольство России на Кубе предупредило туристов о надвигающемся шторме
Россельхознадзор отреагировал на сообщения о поставках в РФ украинского масла
В Польше заявили, что любой президент США захочет переложить на ЕС расходы на Украину
В офисе Зеленского опровергли сообщения о принятии закона о дровах
ФБР обвинило Россию в минировании избирательных участков в США
Женщина родила во время поездки на автобусе в российском регионе
Новый министр обороны Израиля перечислил главные цели войны
В Мичигане на избирательном участке произошла утечка газа
В одном из округов Аризоны возникли проблемы с машинами для голосования
В канцелярии Нетаньяху отреагировали на возможное увольнение глав силовых структур
Томич-меломан жестоко избил прохожего, сделавшего замечание его музыкальному вкусу
Ученые предложили научное объяснение одному из чудес Иисуса Христа
Соратник Харрис назвал неожиданный фактор исхода выборов в США
Эмили Ратаковски пробежалась в шапке-ушанке: «Научилась у Шейк»
Аршавин: к женскому футболу отношусь негативно
Ксения Бородина с сумкой за 360 тысяч рублей вышла на прогулку по Дубаю
В Белом доме отреагировали на увольнение главы МО Израиля
Ким Кардашьян показала редкое архивное фото с матерью до пластики
Все новости