Microsoft tettet hull til mafia-orm

Microsoft tilbyr en automatisk rekonfigurering som tetter et ni måneder gammelt hull i Internett Explorer.

Rundt Sankt Hans ble det kjent at en rekke kjente nettsteder drevet av Microsofts webserver Internet Information Services (IIS) var infisert av en orm som var i stand til å deponere aktive kode hos besøkende med Microsofts nettleser Internet Explorer. Denne aktive koden fikk ofrets PC til å henvende seg til et russisk nettsted for å laste ned en trojaner som fanget opp tastetrykk og fisket etter passord. Ormen går nå under navnet Download.ject.

    Les også:

Det ble antatt at ormen kunne ha sammenheng med russisk mafia, siden den åpenbart var svært avansert og utnyttet en til da ukjent sårbarhet i IIS.

Fredag oppdaterte Microsoft sin informasjonsside What You Should Know About Download.Ject etter å ha funnet ut en foreløpig måte å hindre Internet Explorer fra å motta aktiv kode fra infiserte nettsteder. Metoden spres gjennom Windows Update-tjenesten, og heter «Kritisk oppdatering for ADODB.stream». ADOBD.stream er et objekt i Internet Explorer som benytter seg av Active.X til å skrive til disk. Objektets evne til å motta ondsinnet kode fra et nettsted, skrive den til disk og kjøre den, har vært kjent i ni måneder, uten at Microsoft har gjort noe med denne sårbarheten.

Det oppdateringen gjør, er å endre Windows-konfigurasjonen slik at dette objektet gjøres inaktiv. Teknisk sett, skjer det en endring i Registry.

Oppdateringen gjelder utelukkende klientsiden av ormen Download.ject. Egenskapen som ormen utnytter i webserveren IIS – «enable document footer» – er ikke berørt. Systemadministratorer henvises til detaljerte instrukser som de må vurdere og utføre på egen hånd.

Fra og med Service Pack 2 av Windows XP – som ifølge siste nytt fra Microsoft skal gjøres tilgjengelig i september – vil standardkonfigurasjonen være at ADODB.stream slås av.

Microsoft lover en mer helhetlig tetting av sårbarheten på et seinere tidspunkt.

ADOBD.stream-objektet brukes i noen skreddersydde intranettløsninger for å håndtere dokumentutveksling og –redigering mellom server og klient. Microsofts informasjonsside om Download.ject oppgir metoder for å løse denne formen for interaktivitet uten å gå veien om dette objektet.

Til toppen