Vorige week vrijdag bracht Microsoft een patch uit voor de internet Explorer die een einde moest maken aan een zeer gevaarlijk lek in de webbrowser. De patch moet gebruikers van de Internet Explorer beschermen tegen de malware aanval "Download.Ject". Op Bugtraq kunnen we nu helaas lezen dat deze patch, waar Microsoft toch zo'n 10 maanden voor nodig heeft gehad, eigenlijk nutteloos is.
<img src="http://upload.userbase.be/upload/tn_ie-shot.jpg" align="left" width="120" height="120"> De patch die Microsoft heeft uitgebracht stelt de ActiveX-control ADODB.STREAM buiten werking. Een beetje hacker schijnt hier echter geen probleem mee te hebben omdat hij nog altijd gebruik kan maken van een andere ActiveX-control om hetzelfde doel te bereiken. In plaats van ADODB.STREAM kan zo'n hacker namelijk ook gebruik maken van SHELL.APPLICATION. Even een uitleg hoe zo'n "Download.Ject" aanval werkt: eerst moet een hacker een website hacken of zelf een aangepaste website op het internet zetten. Daarna moet hij argeloze bezoekers naar de website lokken. Is een bezoeker op zo'n aangepaste website, dan treden eigenlijk twee beveiligingslekken in de internet Explorer in werking.
Het eerste beveiligingslek is pas een paar dagen geleden ontdekt en heeft de naam "Non-FQDN URI Address Zone Bypass Vulnerability". Op SecurityFocus, zie onze relevante lynx, kunt u een uitgebreid verslag van dit lek lezen. Het lekt zorgt ervoor dat alle beveiligingsrestricties van de Internet Explorer buiten werking worden gesteld. Microsoft is weliswaar op de hoogte van dit lek, maar is nog niet in staat gebleken om een patch hiervoor in elkaar te zetten.
Wanneer, dankzij het eerste beveiligingslek, alle beveiligingsrestricties buiten werking zijn gesteld treedt het tweede beveiligingslek in actie. Door gebruik te maken van de ActiveX-control ADODB.STREAM kan een hacker dan zijn eigen programma's installeren op de aangevallen PC. Dat deze programma's niet bedoeld zijn om u het leven wat aangenamer te maken moge duidelijk zijn!
Met de patch van vorige week heeft Microsoft alleen maar de ActiveX-control ADODB.STREAM gedeactiveerd in het register. Het lek was tien maanden geleden al bekend. De ontdekker adviseerde gebruikers om in het Register van Windows de volgende verandering uit te voeren:
Sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}
Waarde:
"Compatibility Flags"=dword:00000400
Microsoft heeft met de patch nu gewoon hetzelfde gedaan. Waarom die patch dan circa 100 Kb groot is? De Windows Installer neemt zoveel ruimte in. Voor hetzelfde geld had Microsoft een simpel REG-bestandje uit kunnen brengen. De downloadgrootte zou dan maar circa 1 Kb zijn geweest!
Jammer genoeg heeft Microsoft een beetje buiten de waard gerekend want naar nu blijkt kan ook de ActiveX-control SHELL.APPLICATION gebruikt worden om kwaadaardige code op de computer van het slachtoffer te plaatsen. Eigenlijk had dit bij Microsoft al bekend moeten zijn want ook deze "workaround" is al een tijdje bekend. Microsoft had gewoon een beetje in diverse forums hoeven te kijken om op de hoogte te zijn van dit probleem.
Gelukkig kan ook deze AxtiveX-control in het Register gedeactiveerd worden. Daartoe dient u de sleutel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{13709620-C279-11CE-A49E-444553540000}
de volgende waarde te geven:
"Compatibility Flags"=dword:00000400
Het deactiveren van deze ActiveX-control heeft echter een onplezierig gevolg: een groot aantal websites die gebruik maken van script, daaronder ook Breekpunt, zullen zonder een actieve SHELL.APPLICATION niet meer naar behoren functioneren. Wilt u op dit moment echter de Internet Explorer blijven gebruiken en toch een beetje veilig surfen, dan ontkomt u er niet aan om de ActiveX-control buiten werking te stellen.
Tegen het eerste beveiligingslek, u weet wel "Non-FQDN URI Address Zone Bypass Vulnerability", kunt u op dit moment helaas niets doen. Om dat lek te dichten moet u helaas wachten op Microsoft. Daarom is het ook zo belangrijk om op z'n minst het tweede lek dicht te houden door de aanpassing in het Register uit te voeren.
Dan blijft tenslotte nog de vraag welke bedrijfssystemen last hebben van het probleem. Volgens Microsoft zijn dat de bedrijfssystemen Windows NT, XP, 2000 en Server 2003. Volgens de beschrijving op SecurityFocus zijn echter ook de bedrijfssystemen Windows 95, 98 en ME in gevaar. Best wel begrijpelijk want de Internet Explorer 5 en 6 draaien ook op deze bedrijfssystemen. In tegenstelling tot wat Microsoft adviseert kunnen beter alle gebruikers van Windows het beveiliginglek dichten!
Om het u wat gemakkelijker te maken hebben we een REG-bestand gemaakt dat u kunt downloaden. Na het downloaden dient u er even dubbel op te klikken in de Windows Verkenner en JA te antwoorden op de vraag of de instellingen in het Register geïmporteerd dienen te worden. Herstart daarna even uw computer en uw systeem is weer een beetje veiliger.
Wilt u later beide ActiveX-controls weer activeren, dan kunt u gebruik maken van IEFIXUNDO_BP.REG.
Bron: Bugtraq
