a Microsoft nemrégiben kiadta az MS12-063-at az Internet Explorer összes verzióját, nevezetesen a 6-os, 7-es, 8-as és 9-es verziót érintő biztonsági rések elhárítására. A következő cikk részletesen megvizsgálja a nulladik napi kizsákmányolást, és annak számos következményét tárgyalja.
miről szól az MS12-063?
az MS12-063 egy sávon kívüli biztonsági közlemény, amely az Internet Explorer (9 és korábbi) összes támogatott verziójának biztonsági résein keresztüli támadásokat kezeli. A Microsoft kritikus minősítést adott az MS12-063-nak.
az Internet Explorer (IE) ezen sebezhetőségeit nemrégiben vadonban használták ki. execCommand használat után ingyenes biztonsági rés vagy CVE-2012-4969 a legsúlyosabb ilyen biztonsági rések ami végrehajtó rosszindulatú kódot távoli támadók.Ezt a biztonsági rést egy célzott támadás során is kihasználták, amely a PlugX remote access Trojan (RAT) letöltését eredményezi.
mi a kiváltó oka ennek a kizsákmányolásnak?
a sávon kívüli biztonsági frissítés előtt a nem javított IE böngészők 6-9-es verziói sebezhetőek voltak a kihasználással szemben, amikor kompromittált webhelyeket látogattak meg. Ez azt eredményezi, hogy a támadók ugyanolyan jogosultságokat kapnak, mint a jelenlegi felhasználó a javítatlan IE böngészőkön keresztül. Ezenkívül a statisztikák azt mutatják, hogy ez a biztonsági rés világszerte az internethasználók több mint 30% – át veszélyezteti.
miért hívják” használat után szabad ” biztonsági résnek?
a” használat szabad után “kifejezés a” memória felszabadítása utáni hivatkozásra utal (amely) a program összeomlását, váratlan értékek használatát vagy kód végrehajtását okozhatja.”
hogyan használják ki a támadók ezt a biztonsági rést?
a támadók több összetevőt használnak az IE sikeres kihasználása érdekében. Ezek közé tartozik egy rosszindulatú HTML fájl, egy rosszindulatú .SWF fájlt, és kiváltó rosszindulatú .EXE mint végső hasznos teher.
- amikor a felhasználók egy sérült webhelyhez csatlakoznak,a rosszindulatú HTML-fájl vagy kihasználás.html (HTML_EXPDROP.II) a támadás belépési pontjaként szolgál. A képelem (tömb) több példányát hozza létre a dokumentumban vagy az aktuális weboldalon. Mindezek az src értékét “a”karakterláncra állítják. Ezeket az értékeket a kupacmemória tárolja. A kupac az előre lefoglalt memória olyan területére utal, amelyet egy program változó mennyiségű adatok tárolására használhat.
HTML_EXPDROP.II ezután betölti a rosszindulatú Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK vagy SWF_DROPPR.IL)
- egyszer Moh2010.swf terhelések, az .Az SWF ezután betölt egy iframe-et, amely átirányítja a védelmet.html, HTML_EXPDROP néven is észlelhető.II.
- védelem.a html ezután kiváltja a biztonsági rést, amely a következő eseménysorozatot követi:
- dokumentum végrehajtása.execCommand (“selectAll”) elindítja a selectAll eseményt”onselect=’TestArray ()'”. Ezután létrehozza a CmshtmlEd objektumot a halom memóriában.
- amikor a TestArray () függvény elindul, meghívja a dokumentumot.ír (“L” ” funkció átírni a .HTML dokumentum. Átírja a .HTML dokumentum a létrehozott CmshtmlEd objektum halom memóriájának “felszabadítása” érdekében. (Ez az “ingyenes” rész a” használat után ingyenes ” biztonsági résben.)
- az alábbi 5. ábrán kiemelt módszer (szülő.dzsifud.src=…) 100-szor kerül végrehajtásra, hogy megpróbálja felülírni a cmshtmled objektum felszabadított halommemóriáját.
ezután a CMshtmlEd::Exec metódus megpróbálja elérni a cmshtmled objektum felszabadított halom memóriáját. A CMshtmlEd::Exec metódus meghívása kivételhibához vezet, amely tetszőleges kódfuttatáshoz vezet. (Ez a “használat” része a “használat után ingyenes” biztonsági résnek.)
- dokumentum végrehajtása.execCommand (“selectAll”) elindítja a selectAll eseményt”onselect=’TestArray ()'”. Ezután létrehozza a CmshtmlEd objektumot a halom memóriában.
- Moh2010.az swf tartalmazza a heap spray kódot (shellcode), amely már be van töltve a memóriába. Miután a use-after-free exception hiba bekövetkezik, végrehajtja a http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe vagy a BKDR_POISON hasznos teher letöltéséért és végrehajtásáért felelős shellcode-ot.BMN.
ez a kizsákmányolás hatással lesz az IE 10-re?
nem. A korábban említett kihasználás nem kapcsolódik a közelgő IE 10 böngészőhöz. De röviddel a nulla napos kihasználás után a Microsoft kiadott egy biztonsági frissítést azoknak a felhasználóknak, akik már letöltötték az IE 10 előre kiadott verzióját. A 2755801. számú Microsoft Biztonsági tanácsadó a Windows 8 és a Windows Server 2012 összes támogatott kiadása esetén kezeli az Adobe Flash Player IE 10-es verziójának biztonsági réseit.
voltak más támadások, amelyek kihasználták ezt a biztonsági rést?
Igen. Ezt a kihasználást olyan célzott támadásokban is felhasználták, amelyek elvetették a PlugX remote access Trojan (RAT). Ezek a támadások kormányzati intézmények és kulcsfontosságú iparágak ellen irányultak.
milyen egyéb következményei vannak a javítatlan rendszereknek?
a kihasználások általában lehetővé teszik a támadók számára, hogy olyan rosszindulatú programokat dobjanak le vagy töltsenek be, amelyek más, fenyegetőbb rosszindulatú programokat töltenek le sebezhető vagy javítatlan rendszerekre. De még egy naprakész számítógép is kiszolgáltatott lehet a támadásoknak a nulla napos sebezhetőségek révén. A nulla napos kihasználások veszélyesebbek a természetben, mivel olyan sebezhetőségeket céloznak meg, amelyeket az adott szoftvergyártók még nem oldottak meg. Amíg a szoftvergyártó ki nem ad egy megkerülő megoldást, azaz egy javító eszközt vagy a tényleges szoftverfrissítést, a felhasználók védtelenek és sebezhetőek a fenyegetésekkel szemben.
hogyan védhetem meg magam ettől a nulladik napi sebezhetőségtől?
az előírt biztonsági frissítések alkalmazásán kívül megbízható biztonsági blogokban vagy szoftvergyártó tanácsadó webhelyeken is tájékozódhat az új lehetséges kihasználásokról, és meghatározhatja az érintett fertőzésvektorokat. Ha a kihasználás meghatározott webhelyeken keresztül jut be a felhasználók számítógépére, vagy bizonyos böngészőket céloz meg, akkor a legjobb, ha proaktív megközelítést alkalmaz. Váltson másik böngészőre, amíg nem biztos abban, hogy az összes javítás a helyén van. De más böngészők használata az IE-n kívül nem biztos, hogy életképes lehetőség egyes felhasználók számára a különböző intézmények informatikai rendszergazdái által előírt korlátozások miatt.
mindenesetre a szükséges javítások kiadásáig a Trend Micro 6013-ba épített böngésző exploit prevention szintén megvédi a felhasználókat a sebezhetőséget célzó exploitoktól.
a Trend Micro felhasználók védettek ezzel a fenyegetéssel szemben?
Igen. A Trend Micro GmbH Smart Protection Network (ok) a kihasználás és más rosszindulatú fájlok észlelésével és a rosszindulatú szerverekhez való hozzáférés blokkolásával védi a felhasználókat. A biztonsági rés közlemény oldalunkon tájékozódhat arról, hogy a biztonsági rendszer mennyire védi az ügyfeleket ezektől a kihasználásoktól. Ezenkívül a felhasználók a Microsoft hivatalos biztonsági közleményeinek oldalán találhatják meg a javításokat és a biztonsági résekkel kapcsolatos részletes információkat.