Kilka dni temu opublikowana została na łamach największych światowych serwisów zajmujących się bezpieczeństwem (SecurityFocus, Secunia, FrSIRT) oceniona jako krytyczna (często źle tłumaczona: “ekstremalnie krytyczna”, zapewne z powodu dosłownego tłumaczenia ocen Secunii), luka WMI Object Broker ActiveX Code Execution. Została ona odkryta przez Michała Bućkę, audytora bezpieczeństwa, współtworzącego HACKPL.
http://www.frsirt.com/bulletins/7641
http://secunia.com/advisories/22603/
Luka została znaleziona w WMI Object Broker ActiveX – luka umożliwia zdalne wykonanie kodu. Michał przesłał także Secunii przykładową, prostą aplikację wykorzystującą tę podatność.
HACKPL poinformował powyższe serwisy, że instnieje kilka innych możliwości wykorzystania tego błędu i że w niedługim czasie mogą się pojawić w postaci złośliwego oprogramowania. Microsoft polecił wyłączenie obsługi ActiveX w przeglądarkach innych niż Internet Explorer 7, w Internet Explorer 7 wadliwa kontrolka jest domyślnie wyłączona.
HACKPL ostrzega jednak, że kontrolka może być także obecna w innym oprogramowaniu, przez co zwiększa się znacznie prawdopodobieństwo wykorzystania tego błędu w różnych atakach.
Kontrolka ActiveX jest oznaczona jako “safe for scripting”, co oznacza, że strona internetowa może np. wykonywać metody obiektu. Kontrolka WMI tworzy swój obiekt (ActiveX) w systemie, który już tam istnieje. Jest to poważny błąd, który powoduje jawne ominięcie zasad modelu bezpieczeństwa ActiveX.