Microsoft hat kürzlich MS12-063 veröffentlicht, um Schwachstellen zu beheben, die alle Versionen von Internet Explorer betreffen, nämlich die Versionen 6, 7, 8 und 9. Der folgende Artikel gibt einen detaillierten Einblick in den Zero-Day-Exploit und beschreibt seine verschiedenen Auswirkungen.
Worum geht es bei MS12-063?
MS12-063 ist ein Out-of-Band-Sicherheitsbulletin, das Angriffe durch Sicherheitslücken in allen unterstützten Versionen von Internet Explorer (9 und früher) behebt. Microsoft gab MS12-063 eine ‚kritische‘ Bewertung.
Diese Sicherheitsanfälligkeiten im Internet Explorer (IE) wurden kürzlich in freier Wildbahn ausgenutzt. Die Verwendung von execCommand nach Free Vulnerability oder CVE-2012-4969 ist die schwerwiegendste dieser Sicherheitsanfälligkeiten, die zur Ausführung von bösartigem Code durch entfernte Angreifer führt.Diese besondere Sicherheitsanfälligkeit wurde auch bei einem gezielten Angriff ausgenutzt, der zum Herunterladen des PlugX Remote Access Trojan (RAT) führt.
Was ist die Ursache dieses Exploits?
Vor dem Out-of-Band-Sicherheitsupdate waren ungepatchte IE-Browser der Versionen 6-9 beim Besuch kompromittierter Websites anfällig für den Exploit. Dies führt dazu, dass Angreifer über die nicht gepatchten IE-Browser dieselben Berechtigungen wie der aktuelle Benutzer erhalten. Darüber hinaus haben Statistiken gezeigt, dass diese Sicherheitsanfälligkeit mehr als 30% Internetnutzer weltweit gefährdet.
Warum wird die Schwachstelle „use after free“ genannt?
„Use after free“ bezieht sich auf „Referenzieren von Speicher, nachdem er freigegeben wurde (was dazu führen kann, dass ein Programm abstürzt, unerwartete Werte verwendet oder Code ausgeführt wird.“
Wie nutzen Angreifer diese Sicherheitsanfälligkeit aus?
Angreifer nutzen mehrere Komponenten, um IE erfolgreich auszunutzen. Dazu gehören eine bösartige HTML-Datei, eine bösartige .SWF-Datei, und die Auslösung einer bösartigen .EXE als letzte Nutzlast.
- Wenn Benutzer eine Verbindung zu einer kompromittierten Website, die bösartige HTML-Datei oder Exploit.html (HTML_EXPRESSION.II) dient als Einstiegspunkt des Angriffs. Es werden mehrere Instanzen des Bildelements (Arrays) im Dokument oder auf der aktuellen Webseite erstellt. Alle diese setzen den Wert von src auf die Zeichenfolge „a“. Diese Werte werden im Heap-Speicher gespeichert. Ein Heap bezieht sich auf einen Bereich des vorreservierten Speichers, den ein Programm zum Speichern von Daten in einer variablen Menge verwenden kann.
HTML_EXPRESSION.II lädt dann die bösartige Moh2010.in: swf (SWF_DROPPR.IN: SWF_DROPPR.IJ, SWF_DROPPR.IK oder SWF_DROPPR.IL)
- Einmal Moh2010.swf lädt, das .SWF lädt dann einen iframe, der zu protect umleitet.html, auch als HTML_EXPRESSION erkannt.II.
- Schützen.html löst dann die Sicherheitsanfälligkeit aus, die der folgenden Abfolge von Ereignissen folgt:
- Ausführendes Dokument.execCommand(„selectAll“) löst das selectAll-Ereignis „onselect=’TestArray()'“ aus. Anschließend wird das CmshtmlEd Objekt im Heap-Speicher erstellt.
- Wenn die Funktion TestArray() ausgelöst wird, ruft sie das Dokument auf.schreiben(„L““ Funktion zum Umschreiben der .HTML-Dokument. Es schreibt die .HTML-Dokument, um den Heap-Speicher des erstellten CmshtmlEd-Objekts zu „freigeben“. (Dies ist der „freie“ Teil der „Use-after-free“ -Sicherheitsanfälligkeit.)
- Die in Abbildung 5 unten hervorgehobene Methode (Eltern.jifud.src = …) wird 100 Mal ausgeführt, um zu versuchen, den freigegebenen Heapspeicher des CmshtmlEd Objekts zu überschreiben.
Die Methode CMshtmlEd::Exec versucht dann, auf den freigegebenen Heapspeicher des CmshtmlEd-Objekts zuzugreifen. Der Aufruf der Methode CMshtmlEd::Exec führt zu einem Ausnahmefehler, der dann zur Ausführung willkürlichen Codes führt. (Dies ist der „use“ -Teil in der Sicherheitsanfälligkeit „use-after-free“.)
- Ausführendes Dokument.execCommand(„selectAll“) löst das selectAll-Ereignis „onselect=’TestArray()'“ aus. Anschließend wird das CmshtmlEd Objekt im Heap-Speicher erstellt.
- Moh2010.swf enthält den Heap-Spray-Code (Shellcode), der bereits im Speicher geladen ist. Sobald der use-after-free Ausnahmefehler auftritt, wird der Shellcode ausgeführt, der für das Herunterladen und Ausführen der payload http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe oder BKDR_POISON .BMN.
Wird dieser Exploit Auswirkungen auf IE 10 haben?
Nein. Der zuvor erwähnte Exploit hat nichts mit dem bevorstehenden IE 10-Browser zu tun. Aber kurz nach dem Zero-Day-Exploit veröffentlichte Microsoft ein Sicherheitsupdate für Benutzer, die bereits die Vorabversion von IE 10 heruntergeladen haben. Microsoft Security Advisory 2755801 behebt Sicherheitsanfälligkeiten in Adobe Flash Player in IE 10 auf allen unterstützten Editionen von Windows 8 und Windows Server 2012.
Gab es andere Angriffe, die diese Sicherheitsanfälligkeit ausnutzten?
Ja. Dieser Exploit wurde auch bei gezielten Angriffen verwendet, bei denen der PlugX Remote Access Trojan (RAT) gelöscht wurde. Diese Angriffe richteten sich gegen regierungsnahe Institutionen und Schlüsselindustrien.
Was sind andere Auswirkungen von ungepatchten Systemen?
Exploits ermöglichen es Angreifern im Allgemeinen, Malware abzulegen oder zu laden, die andere, bedrohlichere Malware auf anfällige oder nicht gepatchte Systeme herunterlädt. Aber auch ein aktueller Computer kann durch Zero-Day-Schwachstellen anfällig für Angriffe sein. Zero-Day-Exploits sind gefährlicher, da sie auf Schwachstellen abzielen, die von den jeweiligen Softwareanbietern noch nicht behoben wurden. Bis der Softwareanbieter eine Problemumgehungslösung herausgibt, d. H. Ein Fix-Tool oder das eigentliche Softwareupdate, bleiben die Benutzer ungeschützt und anfällig für Bedrohungen.
Wie schütze ich mich vor dieser Zero-Day-Schwachstelle?
Neben der Anwendung der vorgeschriebenen Sicherheitsupdates können Sie sich auf zuverlässige Sicherheitsblogs oder Websites von Softwareanbietern über neue mögliche Exploits informieren und die beteiligten Infektionsvektoren ermitteln. Wenn der Exploit über bestimmte Websites in die Computer der Benutzer eindringt oder auf bestimmte Browser abzielt, ist es am besten, einen proaktiven Ansatz zu wählen. Wechseln Sie zu einem anderen Browser, bis Sie sicher sind, dass alle Korrekturen vorhanden sind. Die Verwendung anderer Webbrowser außer IE ist für einige Benutzer jedoch möglicherweise keine praktikable Option, da IT-Administratoren in verschiedenen Institutionen Einschränkungen auferlegen.
In jedem Fall schützt die in Trend Micro ™ Titanium ™ 2013 integrierte Browser Exploit Prevention Benutzer bis zur Veröffentlichung der erforderlichen Patches auch vor Exploits, die auf diese Sicherheitsanfälligkeit abzielen.
Sind Trend Micro-Benutzer vor dieser Bedrohung geschützt?
Ja. Das Trend Micro ™ Smart Protection Network ™ schützt Benutzer, indem es den Exploit und andere schädliche Dateien erkennt und den Zugriff auf die schädlichen Server blockiert. Auf unserer Vulnerability Bulletin-Seite finden Sie Informationen darüber, wie Deep Security Kunden vor diesen Exploits schützt. Darüber hinaus können Benutzer auf der offiziellen Microsoft Security Bulletins-Seite die Patches und detaillierte Informationen zu den Sicherheitsanfälligkeiten finden.