CSIS har i nat gennemført en grundig test af det PoC (Proof of Concept), der i går aftes blev publiceret af Sioma Labs, og udsendt som advarsel på vores lukkede platinum alert liste, som en sikkerhedsadvarsel. PoC findes på følgende adresse: http://www.exploit-db.com/exploits/11457

Koden, som er blevet publiceret, gør brug af "WScript.Shell.1" til at afvikle kommandoer på maskinen, hvorpå script koden køres.

Scriptet anvender en ActiveX kontrol til at gennemføre et VBscript kald, der opretter en bruger i den lokale administrator konto gruppe igennem: "cmd /c net user $acc $pass /add && net localgroup Administrators $acc /add". Det sker via følgende CLSID klasse: 72C24DD5-D70A-438B-8A42-98424B88AFB8. Den pågældende ActiveX kontrol er ikke markeret "safe for scripting" og fordrer således udvidet tilladelse for at kunne køre.

Som også anført i går kræver scriptet, at det køres i Microsoft Internet Explorer zonen "sider der haves tillid til" eller den "lokale zone".

I visse scenarier vil denne svaghed kunne udnyttes via e-mail, hvor en modtager lokkes til at åbne f.eks. en særligt udformet html fil, og afvikle denne lokalt. Bemærk, at nyere versioner af f.eks. Microsoft Outlook understøtter sikkerhedszoner og derfor kræver succesfuld kørsel af scriptet, at brugeren gemmer filen lokalt - eksempelvis på skrivebordet, for derefter at åbne den.

Microsoft vil givetvis ikke betragte dette PoC som en sårbarhed, men rettere som en "feature". CSIS anbefaler imidlertid, at man udviser forsigtighed med denne type scripts, idet den f.eks. igennem social engineering, eller ved at plante den i eksempelvis en delt mappe på et lokalt netværk, fortsat kan være en trussel mod den almindelige bruger.  

Man kan, og man bør måske, begrænse ActiveX fra at køre i zonen "websider der haves tillid til". Det vil betydeligt begrænse denne og tilsvarende tricks i at køre arbitrær kommandoer på maskinen.

PoC kan afvikles på Microsoft Internet Explorer 6 og 7 under Windows XP.
  
Vi kategoriserer det pågældende PoC som en lav-medium trussel.