0-dags sårbarhed i Microsoft Jet Database
Cocoruder (
http://ruder.cdut.net) har på flere offentlige mailinglister frigivet detaljerede oplysninger om en hidtil ukendt sårbarhed i Microsoft Jet Database engine. Der er tale om et stack overflow, som gør det muligt, via en særligt udformet MDB fil, at afvikle kode på et fuldt patchet Microsoft Windows system. Microsoft er ikke blevet varslet om dette problem og har således ikke været i stand til at frigive en sikkerhedspatch der lukker hullet, før oplysningerne er gjort tilgængelige.
Sårbarheden i Microsoft Jet Database har flere ligheder med tidligere sårbarheder i netop denne del af operativ systemet (samme DLL). Og tidligere har netop denne type sårbarhed været genstand for opmærksomhed fra it-kriminelle til tvangsfodring af arbitrær kode. Et eksempel herpå er backdoor CUX/Hesive (
http://vil.nai.com/vil/content/v_136371.htm).
CSIS vurderer det for meget sandsynligt, at netop denne sårbarhed, med de detaljerede oplysninger samt PoC (Proof of Concept), som er tilgængelig for enhver, vil blive samlet op af it-kriminelle og misbrugt i forbindelse med socal engineering angreb, hvor en bruger lokkes til at åbne en skadelig MDB fil, eller via et klassisk drive-by, hvor koden indlejres på en fjendtlig hjemmeside, som brugeren lokkes til at besøge.
CSIS anbefaler, at man blokerer for adgang til MDB filer fra eksterne websider, enten via application-layer filtering firewalls eller proxies. CSIS CSG (Content Secure Gateway) kan anvendes til dette formål. Endvidere bør man overveje at filtre MDB filer på virksomhedens SMTP gateway.
Vi vurderer denne sårbarhed som kritisk.
Kilde: CSIS Security Group