W lutowych biuletynach bezpieczeństwa Microsoft opisał krytyczną lukę MS09-002 w przeglądarce Internet Explorer 7 pozwalającą na wykonanie w systemie dowolnego kodu poprzez wyświetlenie specjalnie spreparowanej strony WWW. Równocześnie opublikowany został patch na tą podatność. Tydzień po opublikowaniu poprawki w sieci pojawił się exploit wykorzystujący lukę MS09-002 w IE 7. Co ciekawe, exploit został stworzony na podstawie poprawki wydanej przez Microsoft z wykorzystaniem technik inżynierii wstecznej (ang. reverse engineering). Krążył on początkowo jako dokument programu Word, rozsyłany jako załącznik w spamie. Dokument zawierał kontrolkę ActiveX, która automatycznie pobierała złośliwą stronę WWW. Zawarty na tej stronie kod ściągał i instalował pod postacią biblioteki .dll backdoora, którego główną funkcją było wykradanie informacji z zainfekowanego komputera.

Ostatnio atakujący wykorzystują wspomnianą lukę także w atakach klienckich na przeglądarki WWW. W tym przypadku nie jest wymagana interakcja użytkownika polegająca na otworzeniu załącznika przesłanego w spamie, a jedynie wejście na spreparowaną stronę WWW zawierającą kod expolita. Infekcja następuje automatycznie, bez ingerencji czy wiedzy użytkownika (tzw. drive-by download). Takie strony już pojawiły się w sieci i są wykorzystywane do infekowania niezałatanych systemów złośliwym oprogramowaniem. Exploit nie jest jeszcze powszechnie wykrywany przez silniki antywirusowe – złośliwy kod wykorzystujący lukę MS09-002 umieszczony na jednej z takich stron jest wykrywany tylko przez 9 z 38 antywirusów z serwisu VirusTotal: http://www.virustotal.com/pl/analisis/a3262a0018e7b02e4e647506a8365091.
Kod z tej strony nie był zaciemniony (ang. obfuscated) – w przypadku zastosowania tej techniki współczynnik detekcji jest jeszcze niższy. Dopiero właściwy plik wykonywalny (zawierający konia trojańskiego) ściągany i uruchamiany przez exploita jest wykrywany przez większą liczbę programów antywirusowych: http://www.virustotal.com/analisis/7c7dc6a0fe92a80f53e65b099ff3391f.

Incydenty związane z luką MS09-002 stanowią kolejne potwierdzenie, że ataki na aplikacje klienckie zyskują na popularności. Zamiast aktywnego poszukiwania celów, jak w przypadku propagacji robaków sieciowych, złośliwy kod umieszczany jest na stronach internetowych pasywnie oczekując na odwiedziny niczego niepodejrzewającego internauty. Do detekcji tego rodzaju zagrożeń został stworzony projekt HoneySpider Network – system klienckich honeypotów bazujący na robotach emulujących przeglądarki jak i na rzeczywistych przeglądarkach uruchamianych w wirtualnym środowisku.

Ponieważ kod exploita został publicznie udostępniony, w najbliższym czasie można spodziewać się wzrostu liczby stron wykorzystujących opisywaną lukę do infekowania użytkowników różnymi wariantami złośliwego oprogramowania. Osobom, które jeszcze nie zaktualizowały systemu, rekomendujemy jak najszybszą instalację łatek MS09-002. Warto zaznaczyć, iż błąd ten występuje tylko w przeglądarce Internet Explorer w wersji 7 (IE 6, jak również inne przeglądarki jak Firefox czy Opera są bezpieczne). Nie oznacza to jednak, że użytkownicy alternatywnych przeglądarek są bezpieczni – w przypadku spreparowanego załącznika Word do uruchomienia strony WWW za pomocą kontrolki ActiveX zostanie zawsze użyty Internet Explorer, niezależnie od ustawień domyślnej przeglądarki. Jest więc niezwykle ważne, aby instalować aktualizacje dla wszystkich przeglądarek zainstalowanych w systemie, nawet jeśli nie wszystkie z nich są używane.

Więcej informacji:
http://www.microsoft.com/poland/technet/security/bulletin/ms09-002.mspx
http://isc.sans.org/diary.html?storyid=5884
http://isc.sans.org/diary.html?storyid=5899
http://blogs.zdnet.com/security/?p=2607

Microsoft opublikował lutowy biuletyn bezpieczeństwa, w którym zamieścił cztery poprawki. Dwie krytyczne oraz dwie ważne.

Poprawki krytyczne:

• MS09-002 – Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (961260). Usuwa dwie luki, które zostały zgłoszone przez użytkowników. Luki te mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu programu Internet Explorer.
• MS08-003 - Luki w zabezpieczeniach programu Microsoft Exchange (959239). Pierwsza z tych luk może pozwolić na zdalne wykonanie kodu, jeśli do programu Microsoft Exchange Server zostanie przesłana specjalnie spreparowana wiadomość w formacie TNEF. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka, oraz uprawnienia konta usługi Exchange Server. Druga luka umożliwia atak typu DoS, jeśli do programu Microsoft Exchange Server zostanie przesłane specjalnie spreparowane polecenie MAPI. Po wykorzystaniu luki przez osobę atakującą usługa Microsoft Exchange System Attendant i inne usługi używające dostawcy EMSMDB32 mogą przestać odpowiadać.

Poprawki ważne:

• MS09-004- Luka w zabezpieczeniach programu Microsoft SQL Server umożliwia zdalne wykonanie kodu (959420), jeśli niezaufani użytkownicy uzyskają dostęp do systemu, którego ona dotyczy, lub jeśli w takim systemie dojdzie do ataku z iniekcją SQL. Omawiany problem nie dotyczy systemów z zainstalowanymi programami SQL Server 7.0 z dodatkiem Service Pack 4, SQL Server 2005 z dodatkiem Service Pack 3 i SQL Server 2008.
• MS09-005 – Luki w zabezpieczeniach programu Microsoft Office Visio  (957634). Aktualizacja pozwala usunąć trzy luki w zabezpieczeniach programu Microsoft Office Visio, które mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Visio. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka.

10 lutego NASK wspólnie z Fundacją Dzieci Niczyje organizuje w Polsce, już po raz piąty, obchody światowego Dnia Bezpiecznego Internetu (DBI). Z tej okazji w mediach wystartuje kampania poświęcona problemowi cyberprzemocy, w warszawskiej Bibliotece Uniwersyteckiej odbędzie się konferencja poświęcona tematyce bezpieczeństwa najmłodszych internautów, a w całym kraju organizowane są lokalne inicjatywy związane z bezpieczeństwem dzieci online.

Hasło tegorocznych obchodów DBI i związanej z nimi kampanii w mediach - “Baw się w Internecie – BEZPIECZNIE” - ma podkreślić pozytywny charakter Internetu, jego walory edukacyjne, rozrywkowe i jednocześnie przypominać, że najważniejsze jest bezpieczeństwo, świadomość zagrożeń i dbałość w Sieci o dobro zarówno własne jak i innych internautów. W tym roku podczas obchodów DBI organizatorzy szczególnie podkreślają narastający problem przemocy rówieśniczej w Sieci. Profilaktyka cyberprzemocy oraz promocja oferty pomocowej Helpline.org.pl są przedmiotem oferty edukacyjnej, udostępnianej organizatorom lokalnych obchodów DBI na stronie www.dzieckowsieci.pl oraz kampanii medialnej, która w Dniu Bezpiecznego Internetu rusza w kilku stacjach telewizyjnych, m.in. w TVP oraz TVN.

Jak co roku organizatorzy zachęcają szkoły oraz inne instytucje i organizacje do podejmowania działań edukacyjnych związanych z bezpieczeństwem w Sieci. Inicjatywy rejestrować można w serwisie www.dbi.pl do końca lutego 2009 roku. Wśród ich organizatorów rozlosowane zostaną liczne nagrody.

Obecnie zgłoszonych zostało już ponad 500 inicjatyw z całej Polski.