Hul fra Kina-angreb er lukket

Spor i kildekoden tyder på, at ikke kun angrebet på Google, men også et af programmerne bag det kom fra Kina. Sikkerhedshullet i Internet Explorer blev lukket med en ekstraordinær rettelse, skriver Shehzad Ahmad i denne klumme fra Computerworld.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Den største it-sikkerhedshistorie i januar var utvivlsomt Googles oplysning om, at firmaet var blevet angrebet af hackere fra kinesiske IP-adresser.

Over 30 andre firmaer var udsat for lignende angreb.

Efter nogle dage viste det sig, at hackerne udnyttede et hidtil ukendt sikkerhedshul i Internet Explorer til at komme ind på ofrenes pc'er.

Rettelsen blev fremskyndet

Microsoft kendte allerede til sårbarheden, som firmaet blev gjort opmærksom på i september. Derfor var Microsoft godt i gang med at udvikle en sikkerhedsrettelse, der skulle udsendes sammen med de øvrige rettelser i februar.

Men da sårbarheden nu blev offentligt kendt, gik der ikke lang tid, før eksempler på angrebsprogrammer var tilgængelige.

Derfor valgte Microsoft at udgive rettelsen før planlagt. Så den kom allerede den 21. januar.

En interessant detalje er, at rettelsen ikke kun lukker det aktuelle sikkerhedshul. Den fjerner også syv andre sårbarheder, som ikke har været offentligt kendt.

Aurora angreb IE 6
Den sårbarhed, der blev brugt i angrebet, er kendt som CVE-2010-0249. Den opstår, når Internet Explorer prøver at tilgå memory, som er initialiseret forkert.

Angrebene mod Google og andre firmaer har fået navnet Aurora.

De brugte et angrebsprogram, der kun virkede under Internet Explorer 6. Angrebsprogrammet havde form som et link til en webside, der aktiverede sårbarheden. Herefter blev der installeret en trojansk hest på pc'en.

Nogle iagttagere har i øvrigt moret sig over, at der åbenbart må sidde nogen i Google, som bruger en for længst forældet version af konkurrentens browser.

De dystre spor fra Kina
Sikkerhedsforsker Joe Stewart har analyseret koden til det program, der blev installeret på de sårbare pc'er. Han har især kigget efter tegn på, om den ser ud til at være skrevet af kinesere.

Det ser det ikke umiddelbart ud til: Sprogindstillingerne i ressourcedelen af filen er således sat til engelsk.

Men han faldt over et mærkeligt valg af algoritme. Til en fejlkorrektionsalgoritme bruger programmet en metode, som adskiller sig fra normen.

Joe Stewart har søgt efter lignende algoritmer på nettet. Han har fundet nogle, og de stammer alle fra Kina.

Det officielle Kina har afvist at være involveret i angrebet.

Kan DEP slås fra?
Siden det første angrebsprogram blev offentliggjort har der været forlydender om, at det skulle være muligt at omgå DEP-beskyttelsen (Data Execution Prevention).

DEP findes i Vista og Windows 7. Funktionen forhindrer, at der kan køres programkode fra områder af memory, der er afsat til data. Dermed beskytter funktionen mod udnyttelse af sårbarheden, hvis den er aktiveret.

Microsoft mener, at der nok findes angrebsprogrammer, som kan omgå DEP og udnytte sårbarheden. Men de er ikke set anvendt i praksis.Under alle omstændigheder anbefaler jeg alle at installere rettelsen. Og så er det også en god ide at opgradere til Internet Explorer 8, hvis det er muligt.

 

Oprindelig offentliggjort på Computerworld Online fredag den 29. januar 2010

LINKS

Microsofts sikkerhedsbulletin MS10-002 om den ekstraordinære sikkerhedsrettelse
Spørgsmål og svar fra Microsoft om rettelsen
Joe Stewarts analyse af angrebsprogrammet bag Aurora

Keywords: