Microsoft har for nylig udgivet MS12-063 at løse sårbarheder, der påvirker alle versioner af Internet opdagelsesrejsende, nemlig version 6, 7, 8 og 9. Den følgende artikel er et dybtgående kig på nul-dages Udnyttelse og diskuterer dens mange konsekvenser.
Hvad handler MS12-063 om?
MS12-063 er en out-of-band sikkerhedsbulletin, der adresserer angreb gennem sårbarheder i alle understøttede versioner af Internetudforsker (9 og tidligere). Microsoft gav MS12 – 063 en’ kritisk ‘ vurdering.
disse sårbarheder i Internetudforsker (IE) blev for nylig udnyttet i naturen. brug af eksekveringskommando efter gratis sårbarhed eller CVE-2012-4969 er den mest alvorlige af disse sårbarheder, der fører til udførelse af ondsindet kode af fjernangribere.Denne særlige sårbarhed blev også udnyttet i et målrettet angreb, der resulterer i at hente fjernadgang Trojan (RAT).
Hvad er årsagen til denne udnyttelse?
forud for sikkerhedsopdateringen uden for båndet var ikke-patchede IE-versioner 6-9 sårbare over for udnyttelsen ved at besøge kompromitterede hjemmesider. Dette fører til, at angribere får de samme privilegier som den nuværende bruger via de ikke-patchede IE-bro.sere. Derudover har statistikker vist, at denne sårbarhed sætter mere end 30% internetbrugere over hele verden i fare.
Hvorfor kaldes det sårbarheden” brug efter gratis”?
“brug efter gratis “henviser til” reference hukommelse efter at den er blevet frigivet (hvilket) kan få ET program til at gå ned, bruge uventede værdier eller udføre kode.”
Hvordan udnytter angribere denne sårbarhed?
angribere gør brug af flere komponenter for at kunne udnytte IE. Disse omfatter en ondsindet HTML-fil, en ondsindet .Udløser en ondsindet.Som en endelig nyttelast.
- når brugerne opretter forbindelse til en kompromitteret hjemmeside, den ondsindede HTML-fil eller udnytte.html (HTML_EKSPDROP.II) tjener som indgangssted for angrebet. Det skaber flere forekomster af billedelementet (array) i dokumentet eller den aktuelle hjemmeside. Alle disse indstiller værdien af src til streng “a”. Disse værdier gemmes i heap-hukommelsen. En bunke henviser til et område med forudbestilt hukommelse, som et program kan bruge til at gemme data i en eller anden variabel mængde.
HTML_UDDROP.II indlæser derefter den ondsindede Moh2010.DF (DF_DROPPR.II, SF_DROPPR.IJ, SF_DROPPR.IK eller SWF_DROPPR.IL)
- når Moh2010.SF belastninger, det .SF indlæser derefter en iframe, der omdirigerer for at beskytte.html, også opdaget som HTML_EKSPDROP.II.
- Beskyt.html udløser derefter sårbarheden, der følger følgende rækkefølge af begivenheder:
- udførelse af dokument.eksekutivkommando (“selectAll”) udløser selectAll-begivenheden”onselect=’TestArray ()'”. Det skaber derefter CmshtmlEd objekt i bunke hukommelse.
- når TestArray () – funktionen udløses, kalder den dokumentet.skrive (“L” ” funktion til at omskrive .HTML-dokument. Det omskriver .HTML-dokument for at” frigøre ” heap-hukommelsen til det oprettede CmshtmlEd-objekt. (Dette er den” gratis “del i sårbarheden” brug-efter-fri”.)
- metoden fremhævet i figur 5 nedenfor (forælder.jifud.src = …) udføres 100 gange for at forsøge at overskrive den frigjorte bunke hukommelse af CmshtmlEd objekt.
CMshtmlEd:: – eksekveringsmetoden forsøger derefter at få adgang til den frigjorte heap-hukommelse på CmshtmlEd-objektet. Opkald til Cmshtmled:: – eksekveringsmetoden fører til en undtagelsesfejl, som derefter fører til udførelse af vilkårlig kode. (Dette er” brug “-delen i sårbarheden” brug-efter-fri”.)
- Moh2010.den indeholder heap spray code (shellcode), som allerede er indlæst i hukommelsen. Når use-after-free undtagelsesfejl opstår, udfører den derefter shellcode, der er ansvarlig for at hente og udføre nyttelasten http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe eller BKDR_POISON.BMN.
vil denne udnyttelse forårsage en indvirkning IE 10?
Nej. Den tidligere nævnte udnyttelse er ikke relateret til den kommende IE 10 bro.ser. Men kort efter nul-dages udnyttelse frigav Microsoft en sikkerhedsopdatering til brugere, der allerede har hentet den forududgivne version af IE 10. Microsoft Security Advisory 2755801 adresserer sårbarheder i Adobe Flash Player i IE 10 på alle understøttede udgaver af vinduer 8 og vinduer Server 2012.
var der andre angreb, der udnyttede denne sårbarhed?
Ja. Denne udnyttelse blev også brugt i målrettede angreb, der faldt fjernadgang Trojan (RAT). Disse angreb var rettet mod regeringsrelaterede institutioner og nøgleindustrier.
hvad er andre konsekvenser af upatchede systemer?
udnyttelse gør det generelt muligt for angribere at droppe eller indlæse programmer, der overfører andre, mere truende programmer til sårbare eller upatchede systemer. Men selv en opdateret computer kan være sårbar over for angreb gennem nul-dages sårbarheder. Nul-dages udnyttelse er mere farlig i naturen, da de er rettet mod sårbarheder, der endnu ikke er løst af de respektive programleverandører. Indtil programleverandøren udsteder en løsningsløsning, dvs.et reparationsværktøj eller den faktiske programopdatering, forbliver brugerne ubeskyttede og sårbare over for trusler.
hvordan beskytter jeg mig mod denne nul-dages sårbarhed?
bortset fra at anvende de foreskrevne sikkerhedsopdateringer, kan du henvise til pålidelige sikkerhedsblogs eller leverandørrådgivningssider om nye mulige udnyttelser og bestemme de involverede infektionsvektorer. Hvis udnyttelsen kommer ind i brugernes computere via bestemte sider eller er målrettet mod bestemte bro.Serere, er det bedst at tage en proaktiv tilgang. Skift til en anden bro.ser, indtil du er sikker på, at alle rettelser er på plads. Men at bruge andre internetsøgere bortset fra IE er muligvis ikke en levedygtig mulighed for nogle brugere på grund af begrænsninger, der er pålagt af IT-administratorer i forskellige institutioner.
under alle omstændigheder, indtil de nødvendige programrettelser frigives, beskytter bro.ser-udnyttelsesforebyggelse, der er indbygget i Trend Micro Karrus Titanium 2013, også brugere mod udnyttelser, der er målrettet mod denne sårbarhed.
er Trend Micro-brugere beskyttet mod denne trussel?
Ja. Trend Micro-Smartbeskyttelsesnetværket beskytter brugerne ved at registrere udnyttelsen og andre ondsindede filer og blokere adgangen til de ondsindede servere. Se vores side om sårbarhedsbulletin for at få oplysninger om, hvordan Dyb sikkerhed beskytter kunder mod disse udnyttelser. Derudover kan brugerne henvise til den officielle Microsoft Security Bulletins side for patches og detaljerede oplysninger om sårbarhederne.