Microsoft on äskettäin julkaissut MS12-063 käsitellä haavoittuvuuksia, jotka vaikuttavat kaikkiin versioihin Internet Explorer, nimittäin versiot 6, 7, 8, ja 9. Seuraavassa artikkelissa on perusteellinen tarkastella nollapäivän hyödyntää ja käsitellään sen useita vaikutuksia.
mistä MS12 – 063: ssa on kyse?
MS12-063 on kaistan ulkopuolinen tietoturvatiedote, joka käsittelee hyökkäyksiä haavoittuvuuksien kautta kaikissa Internet Explorerin tuetuissa versioissa (9 ja sitä edeltävissä). Microsoft antoi MS12 – 063: lle ”kriittisen” arvosanan.
näitä Internet Explorerin (IE) haavoittuvuuksia hyödynnettiin hiljattain luonnossa. execCommand-käyttö vapaan haavoittuvuuden tai CVE-2012-4969: n jälkeen on vakavin näistä haavoittuvuuksista, mikä johtaa haitallisen koodin suorittamiseen etähyökkääjillä.Tätä haavoittuvuutta käytettiin hyväksi myös kohdennetussa hyökkäyksessä, joka johtaa PlugX remote access-troijalaisen (RAT) lataamiseen.
mikä on perimmäinen syy tähän hyödyntää?
ennen out-of-band tietoturvapäivitystä, unpatched IE-selaimet versiot 6-9 olivat haavoittuvia haavoittuvia vierailtuaan vaarantuneilla verkkosivustoilla. Tämä johtaa siihen, että hyökkääjät saavat samat oikeudet kuin nykyinen käyttäjä unpatched IE-selainten kautta. Lisäksi tilastot ovat osoittaneet, että tämä haavoittuvuus asettaa yli 30% Internetin käyttäjistä maailmanlaajuisesti vaarassa.
miksi sitä kutsutaan ”käytä vapaan jälkeen” – haavoittuvuudeksi?
” käytä vapaan jälkeen ”viittaa” viittausmuistiin sen vapauduttua (mikä) voi aiheuttaa ohjelman kaatumisen, käyttää odottamattomia arvoja tai suorittaa koodia.”
miten hyökkääjät hyödyntävät tätä haavoittuvuutta?
hyökkääjät käyttävät useita komponentteja hyödyntääkseen IE: tä onnistuneesti. Näitä ovat haitallinen HTML-tiedosto, haitallinen .SWF-tiedosto, ja käynnistää haitallisen .EXE viimeisenä hyötykuormana.
- kun käyttäjät muodostavat yhteyden vaarantuneen sivuston, haitallisen HTML-tiedoston tai hyödyntää.html (HTML_EXPDROP.II) toimii hyökkäyksen syöttöpisteenä. Se luo useita esiintymiä kuvaelementti (array) asiakirjassa, tai nykyinen Web-sivu. Kaikki nämä asettavat src: n arvoksi merkkijonon ”a”. Nämä arvot tallennetaan kasamuistiin. Kasalla tarkoitetaan ennalta varatun muistin aluetta, jota ohjelma voi käyttää tallentamaan dataa jonkin muuttuvan määrän verran.
HTML_EXPDROP.II lataa sitten haitallisen Moh2010: n.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWFDROPPR.IK tai SWF_DROPPR.IL)
- kerran Moh2010.swf kuormat, the .SWF sitten lataa iframe, joka ohjaa suojaamaan.html, havaittu myös HTML_EXPDROP.II.
- suojaa.html laukaisee haavoittuvuuden, joka seuraa seuraavaa tapahtumasarjaa:
- asiakirjan suorittaminen.execCommand (”selectAll”) laukaisee selectAll-tapahtuman”onselect=’TestArray ()'”. Sitten se luo CmshtmlEd objektin heap muisti.
- kun TestArray () – funktio käynnistyy, se kutsuu dokumenttia.kirjoittaa (”L” ” funktio kirjoittaa .HTML-dokumentti. Se kirjoittaa uudelleen .HTML-asiakirja, jotta ”vapauttaa” kasaan muistia luotu CmshtmlEd objekti. (Tämä on” vapaa ”osa” use-after-free ” haavoittuvuus.)
- jäljempänä Kuvassa 5 esitetty menetelmä (vanhempi.jifud.src = …) suoritetaan 100 kertaa, jotta CmshtmlEd-objektin vapautunut kasamuisti voidaan korvata.
CMshtmlEd:: Exec-menetelmä yrittää sitten käyttää Cmshtmledin objektin vapautettua kasamuistia. Cmshtmled::Exec-menetelmän kutsuminen johtaa poikkeusvirheeseen, joka sitten johtaa mielivaltaisen koodin suoritukseen. (Tämä on” use ”-osa” use-after-free ” – haavoittuvuutta.)
- asiakirjan suorittaminen.execCommand (”selectAll”) laukaisee selectAll-tapahtuman”onselect=’TestArray ()'”. Sitten se luo CmshtmlEd objektin heap muisti.
- Moh2010.swf sisältää heap spray-koodin (shellcode), joka on jo ladattu muistiin. Kun käyttö-jälkeen-vapaa poikkeus virhe tapahtuu, se suorittaa shellcode, joka on vastuussa ladata ja suorittaa hyötykuorman http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe tai BKDR_POISON.BMN.
aiheuttaako tämä hyväksikäyttö vaikutuksen eli 10?
Ei. Aiemmin mainittu hyödyntää ei liity tulevaan IE 10 selain. Mutta pian nollapäivän hyödyntämisen jälkeen Microsoft julkaisi tietoturvapäivityksen käyttäjille, jotka ovat jo ladanneet IE 10: n ennakkoon julkaistun version. Microsoft Security Advisory 2755801 käsittelee Adobe Flash Playerin haavoittuvuuksia IE 10: ssä kaikissa tuetuissa Windows 8-ja Windows Server 2012-versioissa.
oliko muita hyökkäyksiä, jotka hyödynsivät tätä haavoittuvuutta?
Kyllä. Tätä haavoittuvuutta käytettiin myös kohdennetuissa hyökkäyksissä, jotka pudottivat PlugX remote access-troijalaisen (RAT). Iskut kohdistuivat hallitukseen liittyviin instituutioihin ja keskeisiin teollisuudenaloihin.
mitä muita vaikutuksia on vertaansa vailla olevilla järjestelmillä?
hyväksikäytöt antavat hyökkääjille yleensä mahdollisuuden pudottaa tai ladata haittaohjelmia, jotka lataavat muita, uhkaavampia haittaohjelmia haavoittuviin tai vertaansa vailla oleviin järjestelmiin. Mutta jopa ajantasainen tietokone voi olla altis hyökkäyksille nollapäivähaavoittuvuuksien kautta. Nollapäivän hyväksikäytöt ovat luonteeltaan vaarallisempia, koska ne kohdistuvat haavoittuvuuksiin, joita vastaavat ohjelmistotoimittajat eivät ole vielä ratkaisseet. Kunnes ohjelmistotoimittaja antaa workaround-ratkaisun eli korjaustyökalun tai varsinaisen ohjelmistopäivityksen, käyttäjät jäävät suojattomiksi ja alttiiksi uhkille.
miten suojaudun tältä nollapäivähaavoittuvuudelta?
määrättyjen tietoturvapäivitysten lisäksi voit viitata luotettaviin tietoturvablogeihin tai ohjelmistotoimittajan neuvontasivustoihin uusista mahdollisista hyväksikäytöistä ja määrittää niihin liittyvät tartuntavektorit. Jos hyödyntää tulee käyttäjien tietokoneisiin tiettyjen sivustojen kautta tai kohdistuu tiettyihin selaimiin, se on parasta ottaa ennakoiva lähestymistapa. Vaihda toiseen selaimeen, kunnes olet varma, että kaikki korjaukset ovat paikallaan. Mutta muiden www-selainten käyttäminen IE: n lisäksi ei välttämättä ole varteenotettava vaihtoehto joillekin käyttäjille johtuen eri laitosten IT-järjestelmänvalvojien asettamista rajoituksista.
joka tapauksessa, kunnes tarvittavat laastarit on julkaistu, Trend Micro™ Titanium™ 2013: een rakennettu selaimen exploit prevention suojaa myös käyttäjiä tämän haavoittuvuuden hyväksikäytöiltä.
suojataanko Trend Micro-käyttäjiä tältä uhalta?
Kyllä. Trend Micro™ Smart Protection Network™ suojaa käyttäjiä havaitsemalla haavoittuvuuden ja muut haitalliset tiedostot ja estämällä pääsyn haitallisille palvelimille. Katso haavoittuvuustiedotteemme sivulta tietoa siitä, miten syvä tietoturva suojaa asiakkaita näiltä hyväksikäytöiltä. Lisäksi käyttäjät voivat viitata Microsoftin viralliselle tietoturvatiedotteiden sivulle paikkauksia ja yksityiskohtaista tietoa haavoittuvuuksista.