Microsoft har nylig gitt UT MS12-063 for å løse sikkerhetsproblemer som påvirker Alle Versjoner Av Internet Explorer, nemlig versjoner 6, 7, 8 og 9. Følgende artikkel er en grundig titt inn i zero-day utnytte og diskuterer sine flere konsekvenser.
HVA HANDLER MS12-063 om?
MS12-063 ER en out-of-band sikkerhetsbulletin som adresserer angrep gjennom sårbarheter i Alle støttede Versjoner Av Internet Explorer (9 og tidligere). Microsoft ga MS12 – 063 en kritisk vurdering.
disse sikkerhetsproblemene I Internet Explorer (IE) ble nylig utnyttet i naturen. execCommand Use After Free Vulnerability eller CVE-2012-4969 er den mest alvorlige av disse sikkerhetsproblemene som fører til å utføre skadelig kode av eksterne angripere.Denne spesielle sårbarheten ble også utnyttet i et målrettet angrep som resulterer i nedlasting Av PlugX remote access Trojan (RAT).
Hva er årsaken til denne utnyttelsen?
Før sikkerhetsoppdateringen var IKKE-oppdaterte IE-nettlesere versjoner 6-9 sårbare for utnyttelsen ved å besøke kompromitterte nettsteder. Dette fører til at angripere får de samme rettighetene som den nåværende brukeren via DE upatchede IE-nettleserne. I tillegg har statistikk vist at dette sikkerhetsproblemet setter Mer enn 30% Internett-brukere over hele verden i fare.
hvorfor kalles det» bruk etter fri » sårbarhet?
«Bruk etter gratis» refererer til » referanse minne etter at det er frigjort (som) kan føre til at et program krasjer, bruker uventede verdier eller utfører kode.»
hvordan utnytter angripere dette sikkerhetsproblemet?
Angripere gjør bruk av flere komponenter for å kunne utnytte IE. Disse inkluderer en ondsinnet HTML-fil, en ondsinnet .SWF-fil, og utløser en ondsinnet .EXE som en endelig nyttelast.
- Når brukere kobler til et kompromittert nettsted, skadelig HTML-fil eller utnytte.html (HTML_EXPDROP.II) fungerer som inngangspunkt for angrepet. Det skaper flere forekomster av bildeelementet (array) i dokumentet, eller gjeldende Nettside. Alle disse angir verdien av src til streng «a». Disse verdiene lagres i heap-minnet. En heap refererer til et område med pre-reservert minne som et program kan bruke til å lagre data i noen variabel mengde.
HTML_EXPDROP.II laster deretter den ondsinnede Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK eller SWF_DROPPR.IL)
- En Gang Moh2010.swf laster, det .SWF laster deretter en iframe som omdirigerer for å beskytte.html, også oppdaget SOM HTML_EXPDROP.II.
- Beskytte.html utløser deretter sårbarheten som følger følgende hendelsessekvens:
- Utførende dokument.execCommand («selectAll») utløser selectall-hendelsen » onselect=’TestArray ()'». Det oppretter Deretter CmshtmlEd-objektet i heap-minne.
- Når TestArray () – funksjonen utløses, kaller den dokumentet.skriv («L» » – funksjonen for a omskrive den.HTML-dokument. Det omskriver det .HTML-dokument for å «frigjøre» heap-minnet til Det opprettede CmshtmlEd-objektet. (Dette er den» gratis «delen i sårbarheten» use-after-free».)
- metoden uthevet i Figur 5 nedenfor (parent.jifud.src=…) utføres 100 ganger for å prøve å overskrive det frigjorte heap-minnet Til CmshtmlEd-objektet.
Metoden CMshtmlEd:: Exec prøver deretter å få tilgang til det frigjorte heap-minnet Til cmshtmled-objektet. Å ringe CMshtmlEd:: Exec-metoden fører til en unntaksfeil, som deretter fører til vilkårlig kjøring av kode. (Dette er» bruk «-delen i sårbarheten» use-after-free».)
- Moh2010.swf inneholder heap spray-koden (shellcode) som allerede er lastet inn i minnet. Når feilen use-after-free exception oppstår, utfører den deretter shellcode som er ansvarlig for å laste ned og utføre nyttelasten http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe eller BKDR_POISON.BMN.
vil denne utnyttelsen forårsake en innvirkning IE 10?
Nei. Den tidligere nevnte utnyttelsen er ikke relatert til den kommende IE 10-nettleseren. Men Kort tid Etter zero-day exploit, lanserte Microsoft en sikkerhetsoppdatering for brukere som allerede har lastet ned den forhåndsutgitte versjonen AV IE 10. Microsofts Sikkerhetsveiledning 2755801 løser sikkerhetsproblemer I Adobe Flash Player I IE 10 på alle støttede versjoner Av Windows 8 Og Windows Server 2012.
var det andre angrep som utnyttet dette sikkerhetsproblemet?
Ja. Denne utnyttelsen ble også brukt i målrettede angrep som droppet PlugX remote access Trojan (RAT). Disse angrepene var rettet mot regjeringsrelaterte institusjoner og viktige næringer.
Hva er andre konsekvenser av upatchede systemer?
Utnyttelser tillater generelt angripere å slippe eller laste inn skadelig programvare som laster ned annen, mer truende skadelig programvare på sårbare eller upatchede systemer. Men selv en oppdatert datamaskin kan være sårbar for angrep gjennom nulldagssårbarheter. Zero-day utnyttelser er mer farlig i naturen som de målrette sårbarheter som ennå ikke er løst av de respektive programvareleverandører. Inntil programvareleverandøren utsteder en løsning, dvs. et reparasjonsverktøy eller den faktiske programvareoppdateringen, blir brukerne ubeskyttet og sårbare for trusler.
hvordan beskytter jeg meg mot denne zero-day sårbarheten?
Bortsett fra å bruke de foreskrevne sikkerhetsoppdateringene, kan du referere til pålitelige sikkerhetsblogger eller programvareleverandørrådgivende nettsteder om nye mulige utnyttelser og bestemme infeksjonsvektorene som er involvert. Hvis utnyttelsen går inn i brukernes datamaskiner gjennom bestemte nettsteder eller målretter mot bestemte nettlesere, er det best å ta en proaktiv tilnærming. Bytt til en annen nettleser til du er sikker på at alle reparasjonene er på plass. Men bruk av andre nettlesere bortsett FRA IE kan ikke være et levedyktig alternativ for noen brukere på grunn av begrensninger pålagt AV IT-administratorer i ulike institusjoner.
i alle fall, til de nødvendige oppdateringene er utgitt, beskytter nettleseren exploit prevention innebygd I Trend Micro™ Titanium™ 2013 også brukere mot utnyttelser rettet mot dette sikkerhetsproblemet.
er Trend Micro-brukere beskyttet mot denne trusselen?
Ja. Trend Micro™ Smart Protection Network™ beskytter brukere ved å oppdage utnyttelsen og andre ondsinnede filer og blokkere tilgangen til de ondsinnede serverne. Se vår sikkerhetsbulletinside for informasjon om Hvor Dypt Sikkerhet beskytter kunder mot disse utnyttelsene. I tillegg kan brukere se den offisielle Microsoft – Sikkerhetsbulletinene for oppdateringer og detaljert informasjon om sikkerhetsproblemene.