Pracownicy Acros zapowiedzieli już, że zaprezentują metodę wykorzystania tych luk do zaatakowania Windows jeszcze w tym miesiącu - podczas konferencji "Hack in the Box", która odbędzie się wkrótce w Amsterdamie. "Zamierzamy udowodnić, że możliwe jest wykorzystanie luk w IE8 i IE9 do uruchomienia złośliwego kodu w komputerach pracujących pod kontrolą Windows 7, Vista i XP. Odbędzie się to bez żadnego komunikatu dla użytkownika, nawet jeśli przeglądarka będzie pracowała w trybie chronionym [Protected mode - red.]" - stwierdził Mitja Kolsek, szef firmy.

Powtórka z rozrywki?

Chodzi tu najprawdopodobniej o atak nazywany przez specjalistów "DLL load hijacking" (aczkolwiek przedstawiciele Arcos mówią o ataku "binary planting"). O tym typie zagrożeń zrobiło się głośno w sierpniu ubiegłego roku, gdy HD Moore - znany ekspert ds. bezpieczeństwa i koordynator projektu Metasploit - wykrył, że kilkadziesiąt popularnych aplikacji dla Windows podatnych jest na atak typu DLL load hijacking. Problem polegał na tym, że wiele aplikacji ładowało pliki DLL nie weryfikując ich pełnej ścieżki, a jedynie nazwę pliku - w tej sytuacji można było łatwo oszukać program i podsunąć mu złośliwą bibliotekę DLL.

Zobacz również:

• Microsoft zapowiada nową linię małych modeli językowych AI
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Od sierpnia 2011 r. Microsoft załatał 13 takich błędów w swoich produktach - ale przedstawiciele Arcos twierdzą, że wciąż nie rozwiązano wszystkich problemów. Według Mitji Kolseka, w oprogramowaniu koncernu z Redmond pozostało co najmniej kilka takich luk - w tym błąd, który umożliwia zaatakowanie każdej kopii Windows XP, a także IE9 (czyli przeglądarki, która trafiła na rynek niespełna trzy miesiące temu).

Kolsek twierdzi, że taki atak można przeprowadzić wykorzystując odpowiednio zmodyfikowane dokumenty MS Office - w czasie pokazu na konferencji "Hack in the Box" Słoweniec chce użyć plików Word 2010 oraz PowerPoint 2010.

IE9 - słabo chroniony?

Jeśli doniesienia te się potwierdzą, będzie to oznaczało poważne kłopoty dla Microsoftu - szczególnie, gdy problem faktycznie dotyczyć będzie również Internet Explorera 9. Najnowsza wersja IE miała bowiem być, wedle zapowiedzi koncernu, znacznie bezpieczniejsza niż poprzednie wydania, m.in. za sprawą wbudowanego sandboksu (czyli izolowanego środowiska, w którym uruchamiany jest kod z nieznanych źródeł).

Zdaniem HD Moore'a, zapowiedzi przedstawicieli Arcos wydają się całkiem realne - specjalista twierdzi, że opisany ogólnie przez Kolseka sposób przeprowadzenia ataku jest sensowny i może okazać się skuteczny.

Microsoft bada problem

Inni specjaliści zwracają jednak uwagę, że zagrożenie ze strony takich błędów nie jest zbyt wielkie - przypominają, że gdy przed niespełna rokiem ujawniono kilkadziesiąt błędów związanych z obsługą DLL, przestępcy tak naprawdę nie zainteresowali się nimi i nie wykorzystywali ich do atakowania internautów.

"Takie błędy są bardzo trudne do wykorzystania - cały mechanizm skłonienia użytkownika do pobrania i uruchomienia złośliwego pliku jest zbyt złożony i twórcy złośliwego oprogramowania nie korzystali z tej metody" - skomentował Andrew Storms, szef działu bezpieczeństwa firmy nCircle Security.

Przedstawiciele Microsoftu na razie potwierdzili tylko, że dotarły do niech informacje na temat nowych potencjalnych luk w Windows - firma obecnie weryfikuje te doniesienia.