Sicherheitsanfälligkeit im Windows-Kernelmodus: Wird es der nächste Conficker sein?

Am 10. November 2009 hat Microsoft 15 Sicherheitslücken in Windows, Windows Server, Excel und Word behoben. Wenn Sie nur ein Update testen und installieren, stellen Sie sicher, dass es sich um MS09-065 handelt. Der Patch behebt einen Fehler mit Conficker-Potenzial, der für Cyberkriminelle attraktiv ist.

Einige Conficker-Geschichte

Im Dezember 2008 begann ich über Umstände zu schreiben, die zur Entstehung des Conficker / Downadup-Wurms führten. Fast ein Jahr später, mit einem verfügbaren Fix, wird die Malware stark. Experten sind sich uneinig, warum.

Einige glauben, dass Raubkopien von Betriebssystemsoftware der Grund sind, da Aktualisierungen außerhalb des Bandes erfolgen müssen. Etwas, zu dem Benutzer von Raubkopien nicht geneigt sind. Andere halten es für vernachlässigt, da Windows nicht für die automatische Aktualisierung konfiguriert ist. Ich vermute, beide Seiten haben Recht. Was denkst du?

MS09-065

In der Zusammenfassung von Microsoft für MS09-065 heißt es:

"Dieses Sicherheitsupdate behebt mehrere privat gemeldete Sicherheitsanfälligkeiten im Windows-Kernel. Die schwerwiegendste Sicherheitsanfälligkeit kann die Ausführung von Remotecode ermöglichen, wenn ein Benutzer Inhalte anzeigt, die in einer speziell gestalteten EOT-Schriftart (Embedded OpenType) gerendert wurden. In einem webbasierten Angriffsszenario Ein Angreifer müsste eine Website hosten, die speziell gestaltete eingebettete Schriftarten enthält, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen. "

Da ich nicht wusste, was es war, musste ich die Embedded OpenType-Schriftart nachschlagen. EOT-Schriftarten wurden von Microsoft für die Verwendung auf Webseiten entwickelt. Word und PowerPoint können auch EOT-Schriftarten verwenden. Es gibt also zwei Angriffsmethoden, schädliche Websites und Office-Dokumente, die als Anhänge gesendet werden.

Experten setzen auf die bösartige Website und den Internet Explorer-Ansatz. Das liegt daran, dass "Drive-by" -Angriffe jeden Tag Tausende von nicht gepatchten Computern infizieren.

Einzigartiger Exploit

Dieser potenzielle Exploit hat einige einzigartige Eigenschaften. Die Verwendung von Internet Explorer ist erforderlich. Der Fehler liegt jedoch nicht im Browser. Es ist im Kernel-Modus-Treiber. Interessant ist auch, dass für Exploits, die diese Sicherheitsanfälligkeit ausnutzen, kein JavaScript erforderlich ist. Dies ist das normale Tool für Angreifer, die Websites als Plattformen für die Bereitstellung von Malware verwenden.

Abschließende Gedanken

Es sieht so aus, als würde Internet Explorer einen fehlerhaften Penner bekommen, da eine Lösung darin besteht, einen anderen Webbrowser zu verwenden. Die einfache Lösung besteht darin, Windows und Office zu aktualisieren. Denken Sie daran, Microsoft hat 14 weitere Sicherheitslücken behoben.

© Copyright 2020 | mobilegn.com