Security Advisory 981169 - Haavoittuvuus VBScriptissä
Microsoft on viime yönä julkaissut uuden Security Advisoryn 981169 otsikolla Vulnerability in VBScript Could Allow Remote Code Execution. Security Advisory koskee VBScriptiä Internet Explorer -selaimessa ja Windowsin Help-toimintoa (Winhlp32.exe). Perinteiset Windowsin HLP-ohjetiedostot on luokiteltu ns. turvattomiksi tiedostoiksi (unsafe file type), koska niihin voidaan liittää mukaan esimerkiksi suoritettavaa ohjelmakoodia. Vihamielinen hyökkääjä voi hyödyntää tätä ominaisuutta niin, että hän luo web-sivun, jossa VBScriptin kautta näytetään käyttäjälle valintaikkuna, jossa käyttäjää kehotetaan painamaan F1-näppäintä. Yksi tällaiselle valintaikkunalle välitettävistä parametreista on HLP-ohjetiedosto. Tämän jälkeen hyökkääjän on vielä houkuteltava käyttäjä avaamaan luomansa web-sivu Internet Explorer -selaimessa. Kun käyttäjä painaa kehotuksen mukaisesti F1-näppäintä, avataan määritetty ohjetiedosto ja mahdollisesti suoritetaan siinä oleva ohjelmakoodi. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.
Haavoittuvuus koskee tämän hetkisen tiedon mukaan Windows 2000- tai Windows XP -käyttöjärjestelmillä varustettuja järjestelmiä, joihin on asennettu jokin tuetuista Internet Explorerin versioista. Haavoittuvuus koskee myös Windows Server 2003 -käyttöjärjestelmällä varustettuja palvelimia, mutta niissä haavoittuvuuden hyödyntämistä estää Internet Explorerissa oletuksena käytössä oleva Enhanced Security Configuration -tila. Uudemmilla Windows-käyttöjärjestelmillä varustetut järjestelmät eivät tämän hetkisen tiedon mukaan ole haavoittuvia.
Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu joitakin keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Näihin keinoihin kuuluvat mm. Winhlp32.exe-tiedoston käyttöoikeuksien rajoittaminen sekä Internet Explorer -selaimen tietoturva-asetusten muuttaminen. Käyttäjiä kannattaa myös kehottaa olemaan painamatta F1-näppäintä, kun jokin sivusto sitä ehdottaa valintaikkunassa.
Lisätietoja haavoittuvuudesta löytyy MSRC:n blogista osoitteessa https://blogs.technet.com/msrc/ sekä Security Research and Defense -blogista osoitteesta https://blogs.technet.com/srd/archive/2010/03/01/help-keypress-vulnerability-in-vbscript-enabling-remote-code-execution.aspx. Lisätietoja edellä mainituista turvattomista tiedostotyypeistä löytyy osoitteesta https://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b7d03027-9791-443b-8bbe-0542b3aa4bfe.