společnost Microsoft nedávno vydala MS12-063 k řešení zranitelností, které ovlivňují všechny verze aplikace Internet Explorer, jmenovitě verze 6, 7, 8 a 9. Následující článek je hloubkovým pohledem na exploit zero-day a pojednává o jeho několika důsledcích.
o čem je MS12-063?
MS12-063 je bezpečnostní bulletin mimo pásmo, který řeší útoky prostřednictvím zranitelností ve všech podporovaných verzích aplikace Internet Explorer (9 a starší). Microsoft dal MS12-063 „kritické“ hodnocení.
tyto chyby zabezpečení v aplikaci Internet Explorer (IE) byly nedávno zneužity ve volné přírodě. execCommand použití po bezplatné zranitelnosti nebo CVE-2012-4969 je nejzávažnější z těchto zranitelností, což vede k provádění škodlivého kódu vzdálenými útočníky.Tato konkrétní chyba zabezpečení byla také využita při cíleném útoku, který má za následek stažení PlugX remote access Trojan (RAT).
jaká je hlavní příčina tohoto zneužití?
před aktualizací zabezpečení mimo pásmo byly unpatched IE prohlížeče verze 6-9 zranitelné při zneužití při návštěvě ohrožených webových stránek. To vede k tomu, že útočníci získají stejná oprávnění jako současný uživatel prostřednictvím neopravených prohlížečů IE. Statistiky navíc ukázaly, že tato chyba zabezpečení ohrožuje více než 30% uživatelů internetu po celém světě.
proč se nazývá zranitelnost“ použít po volném“?
„Use after free „označuje“ odkazující paměť po uvolnění (která) může způsobit selhání programu, použití neočekávaných hodnot nebo spuštění kódu.“
jak útočníci zneužívají tuto chybu zabezpečení?
útočníci využívají několik komponent, aby úspěšně využili IE. Patří mezi ně škodlivý soubor HTML, škodlivý .Soubor SWF a spuštění škodlivého .EXE jako konečné užitečné zatížení.
- když se uživatelé připojí k ohrožené webové stránky, škodlivý soubor HTML nebo zneužít.html (HTML_EXPDROP.II) slouží jako vstupní bod útoku. Vytváří více instancí prvku obrazu (pole) v dokumentu nebo aktuální webové stránce. Všechny tyto nastavují hodnotu src na řetězec „a“. Tyto hodnoty jsou uloženy v paměti haldy. Halda označuje oblast předem vyhrazené paměti, kterou může program použít k ukládání dat v nějaké proměnné výši.
HTML_EXPDROP.II pak načte škodlivý Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK nebo SWF_DROPPR.IL)
- jednou Moh2010.SWF zatížení, the .SWF pak načte iframe, který přesměruje na ochranu.html, také detekován jako HTML_EXPDROP.II.
- Protect.html pak spustí chybu zabezpečení, která následuje po následující posloupnosti událostí:
- vykonávající dokument.execCommand („selectAll“) spouští událost selectAll „onselect=‘ TestArray ()'“. Poté vytvoří objekt CmshtmlEd v paměti haldy.
- když se spustí funkce TestArray (), zavolá dokument.zápis („L“ “ funkce přepsat .HTML dokument. Přepisuje .HTML dokument za účelem „uvolnění“ paměti haldy vytvořeného objektu CmshtmlEd. (Toto je část „zdarma“ v zranitelnosti „use-after-free“.)
- metoda zvýrazněná na obrázku 5 níže (rodič.jifude.src=…) se provádí 100krát, aby se pokusil přepsat uvolněnou paměť haldy objektu CmshtmlEd.
metoda CMshtmlEd:: Exec se poté pokusí získat přístup k uvolněné paměti haldy objektu CmshtmlEd. Volání metody CMshtmlEd:: Exec vede k chybě výjimky, která pak vede k libovolnému spuštění kódu. (Toto je část“ use „v zranitelnosti“ use-after-free“.)
- vykonávající dokument.execCommand („selectAll“) spouští událost selectAll „onselect=‘ TestArray ()'“. Poté vytvoří objekt CmshtmlEd v paměti haldy.
- Moh2010.swf obsahuje haldy spray kód (shellcode), který je již načten v paměti. Jakmile dojde k chybě výjimky use-after-free, provede shellcode, který je zodpovědný za stahování a provádění užitečného zatížení http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe nebo BKDR_POISON.BMN.
způsobí toto zneužití dopad IE 10?
číslo Výše zmíněný exploit nesouvisí s nadcházejícím prohlížečem IE 10. Ale krátce po zero-day exploit, Microsoft vydal aktualizaci zabezpečení pro uživatele, kteří již stáhli předem vydanou verzi IE 10. Microsoft Security Advisory 2755801 řeší zranitelnosti v Adobe Flash Player v IE 10 ve všech podporovaných edicích Windows 8 a Windows Server 2012.
existovaly další útoky, které tuto chybu zabezpečení využily?
Ano. Toto zneužití bylo také použito při cílených útocích, které upustily od Plugx remote access Trojan (RAT). Tyto útoky byly zaměřeny na vládní instituce a klíčová průmyslová odvětví.
jaké jsou další důsledky neopravených systémů?
exploity obecně umožňují útočníkům stáhnout nebo načíst malware, který stáhne jiný, hrozivější malware do zranitelných nebo neopravených systémů. Ale i aktuální počítač může být zranitelný vůči útokům prostřednictvím zranitelností nulového dne. Zero-day exploity jsou nebezpečnější povahy, protože se zaměřují na zranitelnosti, které ještě musí vyřešit příslušní dodavatelé softwaru. Dokud dodavatel softwaru nevydá řešení řešení, tj. opravný nástroj nebo skutečnou aktualizaci softwaru, uživatelé zůstanou nechráněni a zranitelní vůči hrozbám.
jak se mohu chránit před touto zranitelností nulového dne?
kromě použití předepsaných aktualizací zabezpečení se můžete obrátit na spolehlivé bezpečnostní blogy nebo poradenské stránky dodavatelů softwaru o nových možných využitích a určit příslušné vektory infekce. Pokud exploit vstupuje do počítačů uživatelů prostřednictvím konkrétních webů nebo cílí na určité prohlížeče, je nejlepší zaujmout proaktivní přístup. Přepněte do jiného prohlížeče, dokud si nejste jisti, že jsou všechny opravy na místě. Použití jiných webových prohlížečů kromě IE však nemusí být pro některé uživatele schůdnou volbou kvůli omezením nařízeným správci IT v různých institucích.
v každém případě, dokud nebudou uvolněny potřebné opravy, prohlížeč exploit prevention zabudovaný do Trend Micro™ Titanium™ 2013 také chrání uživatele před zneužitím zaměřeným na tuto chybu zabezpečení.
jsou uživatelé Trend Micro chráněni před touto hrozbou?
Ano. Trend Micro™ Smart Protection Network™ chrání uživatele detekcí zneužití a dalších škodlivých souborů a blokováním přístupu k škodlivým serverům. Informace o tom, jak hluboká bezpečnost chrání zákazníky před těmito exploity, najdete na naší stránce bulletinu zranitelnosti. Uživatelé mohou navíc odkazovat na oficiální stránku bulletinů zabezpečení společnosti Microsoft, kde najdete opravy a podrobné informace o zranitelnostech.