H Microsoft φαίνεται να περνάει ένα πολύ δύσκολο μήνα, καθώς μόλις αποκαλύφθηκε ότι ένα exploit στη μηχανή βάσης δεδομένων της Microsoft JET που υποτίθεται ότι επιδιόρθωσε παραμένει ανοικτό σε επιθέσεις.
Το 0Day ανακαλύφθηκε από τον Lucas Leong της ερευνητικής ομάδας της Trend Micro Security, και βρίσκεται στο Jet Database Engine της Microsoft Jet. Η ευπάθεια θα μπορούσε να επιτρέψει σε έναν εισβολέα να τρέξει εξ αποστάσεως κακόβουλο κώδικα σε οποιοδήποτε ευάλωτο υπολογιστή των Windows.
Το Jet Database Engine της Microsoft ή απλά JET (από το Joint Engine Technology) είναι ένας μηχανισμός βάσης δεδομένων που είναι ενσωματωμένος σε πάρα πολλά προϊόντα της Microsoft, όπως στην Microsoft Access και την Visual Basic.
Σύμφωνα με την ανακοίνωση που εξέδωσε η Zero Day Initiative (ZDI), η ευπάθεια οφείλεται σε ένα πρόβλημα με τη διαχείριση των δεικτών στο Jet Database Engine που αν εκμεταλλευτεί με επιτυχία, μπορεί να προκαλέσει γράψιμο μνήμης εκτός ορίων (out-bounds memory write), και απομακρυσμένη εκτέλεση κώδικα.
Ο εισβολέας θα πρέπει να πείσει το στόχο να ανοίξει ένα ειδικά κατασκευασμένο αρχείο βάσης δεδομένων JET για να εκμεταλλευτεί την ευπάθεια και να εκτελέσει από απόσταση τον κακόβουλο κώδικα στον υπολογιστή στόχο.
Σύμφωνα με τους ερευνητές της ZDI, η ευπάθεια υπάρχει σε όλες τις υποστηριζόμενες εκδόσεις των Windows, δηλαδή στα: Windows 10, Windows 8.1, Windows 7 και Windows Server Edition 2008 έως 2016.
Ο μηχανισμός JET είναι μια από τις πρώτες καινοτομίες της Microsoft για βάσεων δεδομένων. Αναπτύχθηκε στη δεκαετία του ’90 και έχει χρησιμοποιηθεί για την τροφοδοσία διάφορων εφαρμογών της εταιρείας, όπως: Access, Visual Basic, Microsoft Project και IIS 3.0.
Το JET εν τω μεταξύ αν και έχει καταργηθεί και έχει αντικατασταθεί από νεώτερες τεχνολογίες, εξακολουθεί να συμπεριλαμβάνεται στα Windows .
Οι τεχνικοί ασφαλείας φυσικά και επικρίνουν την Microsoft για την αποτυχία της επιδιόρθωσης της ευπάθειας, κυρίως επειδή επιτρέπει πλήρη πρόσβαση στα συστήματα των χρηστών των λειτουργικών της εταιρείας.
Η Microsoft τελικά κατάφερε να αντιμετωπίσει το πρόβλημα και διέθεσε μια ενημέρωση την περασμένη Τρίτη.
Ωστόσο, σύμφωνα με τον Mitja Kolsek, συνιδρυτή της 0patch, η πρόσφατη ενημέρωση για το JET της Microsoft είναι ελλιπής και οι εισβολείς μπορούν να εκμεταλλευτούν ακόμα την αρχική ευπάθεια.
“Σε αυτό το σημείο θα δηλώσουμε μόνο ότι βρήκαμε την ενημέρωση να είναι ελαφρώς διαφορετική από το micropatch μας και, δυστυχώς, με τρόπο που περιορίζει την ευπάθεια, αντί να την εξαλείφει”, ανακοίνωσε ο Kolsek.
“Ενημερώσαμε αμέσως τη Microsoft για αυτό και δεν θα αποκαλύψουμε περαιτέρω λεπτομέρειες ή κάποιο poc μέχρι να εκδώσουν μια σωστή λύση”.
Η 0Patch, κυκλοφόρησε ένα προσαρμοσμένο “micro-patch” για το JET 0Day όταν βγήκε, και σήμερα κυκλοφόρησε άλλο ένα που επιδιορθώνει την ενημέρωση της Microsoft που επηρέασε το αρχικό JET fix.
Τα καλά νέα είναι ότι μέχρι σήμερα ούτε η Microsoft ούτε η 0Patch έχουν δει hackers να προσπαθούν να εκμεταλλευτούν αυτήν την ευπάθεια στην Microsoft JET.
_________________________
